Un grupo de ciberespionaje avanzado de China-nexus anteriormente vinculado a la explotación de fallas de seguridad en dispositivos VMware y Fortinet ha sido vinculado al abuso de una vulnerabilidad crítica en VMware vCenter Server como día cero desde finales de 2021.
«UNC3886 tiene un historial de utilización de vulnerabilidades de día cero para completar su misión sin ser detectado, y este último ejemplo demuestra aún más sus capacidades», dijo Mandiant, propiedad de Google. dicho en un informe del viernes.
La vulnerabilidad en cuestión es CVE-2023-34048 (puntuación CVSS: 9,8), una escritura fuera de límites que podría ser utilizado por un actor malicioso con acceso de red a vCenter Server. Fue solucionado por la empresa propiedad de Broadcom el 24 de octubre de 2023.
El proveedor de servicios de virtualización, a principios de esta semana, actualizó su aviso para reconocer que «la explotación de CVE-2023-34048 se ha producido en la naturaleza».
UNC3886 salió a la luz por primera vez en septiembre de 2022, cuando se descubrió que aprovechaba fallas de seguridad previamente desconocidas en VMware para implementar puertas traseras en sistemas Windows y Linux, implementando familias de malware como VIRTUALPITA y VIRTUALPIE.
Los últimos hallazgos de Mandiant muestran que el día cero utilizado por el actor-estado-nación dirigido a VMware no era otro que CVE-2023-34048, lo que le permite obtener acceso privilegiado al sistema vCenter y enumerar todos los hosts ESXi y sus respectivos invitados. máquinas virtuales conectadas al sistema.
La siguiente fase del ataque implica recuperar las credenciales de texto sin cifrar «vpxuser» para los hosts y conectarse a ellos para instalar el malware VIRTUALPITA y VIRTUALPIE, permitiendo así al adversario conectarse directamente a los hosts.
En última instancia, esto allana el camino para la explotación de otra falla de VMware (CVE-2023-20867, puntuación CVSS: 3.9), para ejecutar comandos arbitrarios y transferir archivos hacia y desde máquinas virtuales invitadas desde un host ESXi comprometido, como reveló Mandiant en junio de 2023.
Se recomienda a los usuarios de VMware vCenter Server que actualicen a la última versión para mitigar cualquier amenaza potencial.
En los últimos años, UNC3886 también ha aprovechado CVE-2022-41328 (puntuación CVSS: 6,5), una falla de recorrido de ruta en el software Fortinet FortiOS, para implementar implantes THINCRUST y CASTLETAP para ejecutar comandos arbitrarios recibidos desde un servidor remoto y filtrar datos confidenciales. .
Estos ataques señalan específicamente las tecnologías de firewall y virtualización debido al hecho de que carecen de soporte para soluciones de detección y respuesta de endpoints (EDR) para persistir dentro de los entornos de destino durante períodos de tiempo prolongados.