Daha önce VMware ve Fortinet cihazlarındaki güvenlik açıklarından yararlanılmasıyla ilişkilendirilen gelişmiş bir Çin bağlantılı siber casusluk grubu, 2021’in sonlarından bu yana sıfır gün olarak VMware vCenter Server’daki kritik bir güvenlik açığının kötüye kullanılmasıyla ilişkilendirildi.
Google’ın sahibi Mandiant, “UNC3886’nın sıfır gün güvenlik açıklarından yararlanarak görevini tespit edilmeden tamamlama konusunda bir geçmişi var ve bu son örnek onların yeteneklerini daha da gösteriyor.” söz konusu Cuma raporunda.
Söz konusu güvenlik açığı CVE-2023-34048’dir (CVSS puanı: 9,8), sınır dışı yazma vCenter Sunucusuna ağ erişimi olan kötü niyetli bir aktör tarafından kullanılabilir. Sorun, Broadcom’un sahibi olduğu şirket tarafından 24 Ekim 2023’te düzeltildi.
Sanallaştırma hizmetleri sağlayıcısı bu hafta başında, tavsiyesini güncelledi “CVE-2023-34048’in vahşi doğada sömürüldüğünü” kabul etmek.
UNC3886, ilk olarak Eylül 2022’de VMware’deki önceden bilinmeyen güvenlik kusurlarından yararlanarak Windows ve Linux sistemlerine arka kapı açarak VIRTUALPITA ve VIRTUALPIE gibi kötü amaçlı yazılım ailelerini dağıttığı tespit edildiğinde gün ışığına çıktı.
Mandiant’ın son bulguları, ulus devlet aktörünün VMware’i hedef alan sıfır gün silahının, vCenter sistemine ayrıcalıklı erişim elde etmesine ve tüm ESXi ana bilgisayarlarını ve ilgili konuklarını numaralandırmasına olanak tanıyan CVE-2023-34048’den başkası olmadığını gösteriyor. Sisteme bağlı sanal makineler.
Saldırının bir sonraki aşaması, ana bilgisayarlar için açık metin “vpxuser” kimlik bilgilerinin alınmasını ve VIRTUALPITA ve VIRTUALPIE kötü amaçlı yazılımını yüklemek için bunlara bağlanmayı ve böylece düşmanın ana bilgisayarlara doğrudan bağlanmasını sağlamayı içerir.
Mandiant’ın Haziran 2023’te açıkladığı gibi, bu sonuçta başka bir VMware kusurunun (CVE-2023-20867, CVSS puanı: 3,9) kullanılmasına ve keyfi komutların yürütülmesine ve güvenliği ihlal edilmiş bir ESXi ana bilgisayarından konuk VM’lere dosya aktarımına yol açıyor.
VMware vCenter Server kullanıcılarının olası tehditleri azaltmak için en son sürüme güncellemeleri önerilir.
Son yıllarda UNC3886, uzak bir sunucudan alınan rastgele komutları yürütmek ve hassas verileri sızdırmak amacıyla THINCRUST ve CASTLETAP implantlarını dağıtmak için Fortinet FortiOS yazılımındaki bir yol geçiş kusuru olan CVE-2022-41328’den (CVSS puanı: 6,5) yararlandı. .
Bu saldırılar, hedef ortamlarda uzun süre kalabilmek için uç nokta algılama ve yanıt (EDR) çözümlerine yönelik destek eksikliği nedeniyle özellikle güvenlik duvarı ve sanallaştırma teknolojilerini öne çıkarıyor.