Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers chinos explotan VMware Zero-Day para sistemas Windows y Linux de puerta trasera
  • Tecnología

Hackers chinos explotan VMware Zero-Day para sistemas Windows y Linux de puerta trasera

teknomers 14 de Haziran de 2023 (Last updated: 14 de Haziran de 2023) 4 minutes read
Hackers chinos explotan VMware Zero-Day para sistemas Windows y Linux


14 de junio de 2023Ravie LakshmanánDía cero / Seguridad de la red

El grupo patrocinado por el estado chino conocido como UNC3886 se ha descubierto que aprovecha una falla de día cero en los hosts VMware ESXi para sistemas Windows y Linux de puerta trasera.

La vulnerabilidad de omisión de autenticación de VMware Tools, rastreada como CVE-2023-20867 (puntuación CVSS: 3,9), “permitió la ejecución de comandos privilegiados en máquinas virtuales invitadas de Windows, Linux y PhotonOS (vCenter) sin autenticación de credenciales de invitados de un host ESXi comprometido y sin inicio de sesión predeterminado en máquinas virtuales invitadas”, Mandiant dicho.

UNC3886 fue documentado inicialmente por la firma de inteligencia de amenazas propiedad de Google en septiembre de 2022 como un actor de espionaje cibernético que infectaba los servidores VMware ESXi y vCenter con puertas traseras denominadas VIRTUALPITA y VIRTUALPIE.

La seguridad cibernética

A principios de marzo, el grupo estuvo vinculado a la explotación de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS para implementar implantes en los dispositivos de red e interactuar con el malware antes mencionado.

El actor de amenazas ha sido descrito como un colectivo adversario “altamente experto” que se enfoca en organizaciones de defensa, tecnología y telecomunicaciones en los EE. UU., Japón y la región de Asia-Pacífico.

“El grupo tiene acceso a una amplia investigación y apoyo para comprender la tecnología subyacente de los dispositivos a los que se dirige”, dijeron los investigadores de Mandiant, destacando su patrón de armar fallas en el firewall y el software de virtualización que no son compatibles con las soluciones EDR.

Defecto de día cero de VMware

Como parte de sus esfuerzos para explotar los sistemas ESXi, también se ha observado que el actor de amenazas recopila credenciales de los servidores vCenter y abusa de CVE-2023-20867 para ejecutar comandos y transferir archivos hacia y desde máquinas virtuales invitadas desde un host ESXi comprometido.

Un aspecto notable de la artesanía de UNC3886 es su uso de la interfaz de comunicación de máquina virtual (VMCI) sockets para el movimiento lateral y la persistencia continua, lo que le permite establecer un canal encubierto entre el host ESXi y sus máquinas virtuales invitadas.

PRÓXIMO SEMINARIO WEB

🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!

Únase a la sesión

“Este canal de comunicación abierto entre el invitado y el host, donde cualquiera de los roles puede actuar como cliente o servidor, ha permitido un nuevo medio de persistencia para recuperar el acceso en un host ESXi con puerta trasera siempre que se implemente una puerta trasera y el atacante obtenga acceso inicial a cualquier máquina invitada”, dijo la compañía.

El desarrollo se produce como investigador del equipo de invocación Sina Kheirkhah revelado tres fallas diferentes en VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 y CVE-2023-20889) que podrían resultar en la ejecución remota de código.

“UNC3886 continúa presentando desafíos para los investigadores al deshabilitar y manipular los servicios de registro, eliminando selectivamente los eventos de registro relacionados con su actividad”, agregó. “La limpieza retroactiva de los actores de amenazas realizada a los pocos días de las revelaciones públicas anteriores sobre su actividad indica cuán alertas están”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Papa: momento crucial para la humanidad, estabilidad en riesgo
Next: Adquisición de KV Kortrijk: "Más preguntas que respuestas"

Related Stories

Una vez más, el departamento de Seguridad Nacional de Estados
  • Tecnología

Una vez más, el departamento de Seguridad Nacional de Estados Unidos ha sido hackeado

teknomers 3 de Temmuz de 2026
Orange ofrece un plan gratuito de 20 Go. Descubre todo
  • Tecnología

Orange ofrece un plan gratuito de 20 Go. Descubre todo lo que necesitas saber sobre esta oferta excepcional.

teknomers 3 de Temmuz de 2026
RTX 5060 Gaming OC a menos de 310€ en PcComponentes:
  • Tecnología

RTX 5060 Gaming OC a menos de 310€ en PcComponentes: la tarjeta que hace que el 1080p sea accesible

teknomers 3 de Temmuz de 2026

You May Have Missed

  • Deporte

Gran Premio de Gran Bretaña: Lewis Hamilton el más rápido en la única sesión de práctica en Silverstone

teknomers 3 de Temmuz de 2026
  • Finanzas

«Mon téléphone sonne non-stop»: las solicitudes de aire acondicionado explotan por temor a otros episodios de canícula

teknomers 3 de Temmuz de 2026
  • Deporte

Mercato Rennes: acuerdo con Sunderland para el traspaso de Eliezer Mayenda

teknomers 3 de Temmuz de 2026
  • Cultura

«Una serie de milagros»: Ycare revela los secretos de su nueva canción para Céline Dion

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.