{"id":805205,"date":"2023-06-14T17:33:34","date_gmt":"2023-06-14T17:33:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-chinos-explotan-vmware-zero-day-para-sistemas-windows-y-linux-de-puerta-trasera\/"},"modified":"2023-06-14T17:33:38","modified_gmt":"2023-06-14T17:33:38","slug":"hackers-chinos-explotan-vmware-zero-day-para-sistemas-windows-y-linux-de-puerta-trasera","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-chinos-explotan-vmware-zero-day-para-sistemas-windows-y-linux-de-puerta-trasera\/","title":{"rendered":"Hackers chinos explotan VMware Zero-Day para sistemas Windows y Linux de puerta trasera"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">D\u00eda cero \/ Seguridad de la red<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El grupo patrocinado por el estado chino conocido como <strong>UNC3886<\/strong> se ha descubierto que aprovecha una falla de d\u00eda cero en los hosts VMware ESXi para sistemas Windows y Linux de puerta trasera.<\/p>\n<p>La vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n de VMware Tools, rastreada como <a rel=\"nofollow noopener\" href=\"https:\/\/www.vmware.com\/security\/advisories\/VMSA-2023-0013.html\" target=\"_blank\">CVE-2023-20867<\/a> (puntuaci\u00f3n CVSS: 3,9), &#8220;permiti\u00f3 la ejecuci\u00f3n de comandos privilegiados en m\u00e1quinas virtuales invitadas de Windows, Linux y PhotonOS (vCenter) sin autenticaci\u00f3n de credenciales de invitados de un host ESXi comprometido y sin inicio de sesi\u00f3n predeterminado en m\u00e1quinas virtuales invitadas&#8221;, Mandiant <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/vmware-esxi-zero-day-bypass\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>UNC3886 fue documentado inicialmente por la firma de inteligencia de amenazas propiedad de Google en septiembre de 2022 como un actor de espionaje cibern\u00e9tico que infectaba los servidores VMware ESXi y vCenter con puertas traseras denominadas VIRTUALPITA y VIRTUALPIE.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Pandilla-china-PostalFurious-ataca-a-usuarios-de-EAU-con-esquema.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>A principios de marzo, el grupo estuvo vinculado a la explotaci\u00f3n de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS para implementar implantes en los dispositivos de red e interactuar con el malware antes mencionado.<\/p>\n<p>El actor de amenazas ha sido descrito como un colectivo adversario &#8220;altamente experto&#8221; que se enfoca en organizaciones de defensa, tecnolog\u00eda y telecomunicaciones en los EE. UU., Jap\u00f3n y la regi\u00f3n de Asia-Pac\u00edfico.<\/p>\n<p>&#8220;El grupo tiene acceso a una amplia investigaci\u00f3n y apoyo para comprender la tecnolog\u00eda subyacente de los dispositivos a los que se dirige&#8221;, dijeron los investigadores de Mandiant, destacando su patr\u00f3n de armar fallas en el firewall y el software de virtualizaci\u00f3n que no son compatibles con las soluciones EDR.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgLy6abpo3eUt0OJnhzkMpCc0oNAiuwBFSaSNaztcGGXD875eciyZCjiLEtD00vAjje6mswHt7R1H1m9C2kuHr2cL2rrX3p_rZ_48VHcLXbvPajZdxDxbhyLdHcJuau7erRUOmSekRfVbonrV70YG6Hs-QNDnFK-ZApOggFnhQXSEH_dldui7EEZoTr\/s728-e3650\/chinese-hackers.jpg\" alt=\"Defecto de d\u00eda cero de VMware\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Defecto de d\u00eda cero de VMware\"\/><\/div>\n<p>Como parte de sus esfuerzos para explotar los sistemas ESXi, tambi\u00e9n se ha observado que el actor de amenazas recopila credenciales de los servidores vCenter y abusa de CVE-2023-20867 para ejecutar comandos y transferir archivos hacia y desde m\u00e1quinas virtuales invitadas desde un host ESXi comprometido.<\/p>\n<p>Un aspecto notable de la artesan\u00eda de UNC3886 es su uso de la interfaz de comunicaci\u00f3n de m\u00e1quina virtual (<a rel=\"nofollow noopener\" href=\"https:\/\/kb.vmware.com\/s\/article\/1010806\" target=\"_blank\">VMCI<\/a>) sockets para el movimiento lateral y la persistencia continua, lo que le permite establecer un canal encubierto entre el host ESXi y sus m\u00e1quinas virtuales invitadas.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n<p class=\"wn-description\">Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">\u00danase a la sesi\u00f3n<\/a><\/div>\n<p>&#8220;Este canal de comunicaci\u00f3n abierto entre el invitado y el host, donde cualquiera de los roles puede actuar como cliente o servidor, ha permitido un nuevo medio de persistencia para recuperar el acceso en un host ESXi con puerta trasera siempre que se implemente una puerta trasera y el atacante obtenga acceso inicial a cualquier m\u00e1quina invitada&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p>El desarrollo se produce como investigador del equipo de invocaci\u00f3n Sina Kheirkhah <a rel=\"nofollow noopener\" href=\"https:\/\/summoning.team\/blog\/vmware-vrealize-network-insight-rce-cve-2023-20887\/\" target=\"_blank\">revelado<\/a> tres fallas diferentes en VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 y CVE-2023-20889) que podr\u00edan resultar en la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p>&#8220;UNC3886 contin\u00faa presentando desaf\u00edos para los investigadores al deshabilitar y manipular los servicios de registro, eliminando selectivamente los eventos de registro relacionados con su actividad&#8221;, agreg\u00f3.  &#8220;La limpieza retroactiva de los actores de amenazas realizada a los pocos d\u00edas de las revelaciones p\u00fablicas anteriores sobre su actividad indica cu\u00e1n alertas est\u00e1n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/chinese-hackers-exploit-vmware-zero-day.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 de junio de 2023\ue804Ravie Lakshman\u00e1nD\u00eda cero \/ Seguridad de la red El grupo patrocinado por el estado<\/p>\n","protected":false},"author":1,"featured_media":805206,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4289,4664,8513,4662,6369,4668,4667,18038,4654,4658,4659,4653,4655,18,4663,1732,4666,4665,5527,7157,34470,4660,20385,35380],"class_list":["post-805205","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-chinos","tag-como-hackear","tag-explotan","tag-filtracion-de-datos","tag-hackers","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-linux","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sistemas","tag-trasera","tag-vmware","tag-vulnerabilidad-de-software","tag-windows","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/805205","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=805205"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/805205\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/805206"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=805205"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=805205"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=805205"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}