Un groupe de cyberespionnage avancé lié à la Chine, précédemment lié à l’exploitation de failles de sécurité dans les appliances VMware et Fortinet, a été associé à l’abus d’une vulnérabilité critique de VMware vCenter Server en tant que jour zéro depuis fin 2021.
« UNC3886 a fait ses preuves dans l’utilisation de vulnérabilités du jour zéro pour accomplir sa mission sans être détecté, et ce dernier exemple démontre encore davantage ses capacités », a déclaré Mandiant, propriété de Google. dit dans un rapport de vendredi.
La vulnérabilité en question est CVE-2023-34048 (score CVSS : 9,8), une écriture hors limites qui pourrait être utilisé par un acteur malveillant ayant un accès réseau à vCenter Server. Ce problème a été résolu par la société appartenant à Broadcom le 24 octobre 2023.
Le fournisseur de services de virtualisation, plus tôt cette semaine, a mis à jour son avis reconnaître que « l’exploitation du CVE-2023-34048 a eu lieu dans la nature ».
UNC3886 a été révélé pour la première fois en septembre 2022 lorsqu’il a été découvert qu’il exploitait des failles de sécurité jusqu’alors inconnues dans VMware pour accéder aux systèmes Windows et Linux, en déployant des familles de logiciels malveillants comme VIRTUALPITA et VIRTUALPIE.
Les dernières découvertes de Mandiant montrent que le Zero Day utilisé par l’acteur étatique ciblant VMware n’était autre que CVE-2023-34048, lui permettant d’obtenir un accès privilégié au système vCenter et d’énumérer tous les hôtes ESXi et leurs invités respectifs. machines virtuelles attachées au système.
La phase suivante de l’attaque consiste à récupérer les informations d’identification « vpxuser » en texte clair pour les hôtes et à s’y connecter afin d’installer les logiciels malveillants VIRTUALPITA et VIRTUALPIE, permettant ainsi à l’adversaire de se connecter directement aux hôtes.
Cela ouvre finalement la voie à l’exploitation d’une autre faille VMware (CVE-2023-20867, score CVSS : 3,9), pour exécuter des commandes arbitraires et transférer des fichiers vers et depuis des VM invitées à partir d’un hôte ESXi compromis, comme l’a révélé Mandiant en juin 2023.
Il est recommandé aux utilisateurs de VMware vCenter Server de mettre à jour vers la dernière version pour atténuer toute menace potentielle.
Ces dernières années, UNC3886 a également profité de CVE-2022-41328 (score CVSS : 6,5), une faille de traversée de chemin dans le logiciel Fortinet FortiOS, pour déployer les implants THINCRUST et CASTLETAP permettant d’exécuter des commandes arbitraires reçues d’un serveur distant et d’exfiltrer des données sensibles. .
Ces attaques ciblent spécifiquement les technologies de pare-feu et de virtualisation en raison du fait qu’elles ne prennent pas en charge les solutions de détection et de réponse des points finaux (EDR) afin de persister dans les environnements cibles pendant de longues périodes.