{"id":1109980,"date":"2024-01-20T10:15:32","date_gmt":"2024-01-20T12:15:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-ont-utilise-silencieusement-la-faille-zero-day-de-vmware-pendant-2-ans\/"},"modified":"2024-01-20T10:15:36","modified_gmt":"2024-01-20T12:15:36","slug":"les-pirates-chinois-ont-utilise-silencieusement-la-faille-zero-day-de-vmware-pendant-2-ans","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-ont-utilise-silencieusement-la-faille-zero-day-de-vmware-pendant-2-ans\/","title":{"rendered":"Les pirates chinois ont utilis\u00e9 silencieusement la faille Zero-Day de VMware pendant 2 ans"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 janvier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Zero Day \/ Cyber-espionnage<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un groupe de cyberespionnage avanc\u00e9 li\u00e9 \u00e0 la Chine, pr\u00e9c\u00e9demment li\u00e9 \u00e0 l’exploitation de failles de s\u00e9curit\u00e9 dans les appliances VMware et Fortinet, a \u00e9t\u00e9 associ\u00e9 \u00e0 l’abus d’une vuln\u00e9rabilit\u00e9 critique de VMware vCenter Server en tant que jour z\u00e9ro depuis fin 2021.<\/p>\n

“UNC3886 a fait ses preuves dans l’utilisation de vuln\u00e9rabilit\u00e9s du jour z\u00e9ro pour accomplir sa mission sans \u00eatre d\u00e9tect\u00e9, et ce dernier exemple d\u00e9montre encore davantage ses capacit\u00e9s”, a d\u00e9clar\u00e9 Mandiant, propri\u00e9t\u00e9 de Google. dit<\/a> dans un rapport de vendredi.<\/p>\n

La vuln\u00e9rabilit\u00e9 en question est CVE-2023-34048 (score CVSS : 9,8), une \u00e9criture hors limites<\/a> qui pourrait \u00eatre utilis\u00e9 par un acteur malveillant ayant un acc\u00e8s r\u00e9seau \u00e0 vCenter Server. Ce probl\u00e8me a \u00e9t\u00e9 r\u00e9solu par la soci\u00e9t\u00e9 appartenant \u00e0 Broadcom le 24 octobre 2023.<\/p>\n

\"La<\/a><\/center><\/div>\n

Le fournisseur de services de virtualisation, plus t\u00f4t cette semaine, a mis \u00e0 jour son avis<\/a> reconna\u00eetre que “l’exploitation du CVE-2023-34048 a eu lieu dans la nature”.<\/p>\n

UNC3886 a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois en septembre 2022 lorsqu’il a \u00e9t\u00e9 d\u00e9couvert qu’il exploitait des failles de s\u00e9curit\u00e9 jusqu’alors inconnues dans VMware pour acc\u00e9der aux syst\u00e8mes Windows et Linux, en d\u00e9ployant des familles de logiciels malveillants comme VIRTUALPITA et VIRTUALPIE.<\/p>\n

Les derni\u00e8res d\u00e9couvertes de Mandiant montrent que le Zero Day utilis\u00e9 par l’acteur \u00e9tatique ciblant VMware n’\u00e9tait autre que CVE-2023-34048, lui permettant d’obtenir un acc\u00e8s privil\u00e9gi\u00e9 au syst\u00e8me vCenter et d’\u00e9num\u00e9rer tous les h\u00f4tes ESXi et leurs invit\u00e9s respectifs. machines virtuelles attach\u00e9es au syst\u00e8me.<\/p>\n

La phase suivante de l’attaque consiste \u00e0 r\u00e9cup\u00e9rer les informations d’identification \u00ab\u00a0vpxuser\u00a0\u00bb en texte clair pour les h\u00f4tes et \u00e0 s’y connecter afin d’installer les logiciels malveillants VIRTUALPITA et VIRTUALPIE, permettant ainsi \u00e0 l’adversaire de se connecter directement aux h\u00f4tes.<\/p>\n

\"La<\/a><\/center><\/div>\n

Cela ouvre finalement la voie \u00e0 l’exploitation d’une autre faille VMware (CVE-2023-20867, score CVSS : 3,9), pour ex\u00e9cuter des commandes arbitraires et transf\u00e9rer des fichiers vers et depuis des VM invit\u00e9es \u00e0 partir d’un h\u00f4te ESXi compromis, comme l’a r\u00e9v\u00e9l\u00e9 Mandiant en juin 2023.<\/p>\n

Il est recommand\u00e9 aux utilisateurs de VMware vCenter Server de mettre \u00e0 jour vers la derni\u00e8re version pour att\u00e9nuer toute menace potentielle.<\/p>\n

Ces derni\u00e8res ann\u00e9es, UNC3886 a \u00e9galement profit\u00e9 de CVE-2022-41328 (score CVSS : 6,5), une faille de travers\u00e9e de chemin dans le logiciel Fortinet FortiOS, pour d\u00e9ployer les implants THINCRUST et CASTLETAP permettant d’ex\u00e9cuter des commandes arbitraires re\u00e7ues d’un serveur distant et d’exfiltrer des donn\u00e9es sensibles. .<\/p>\n

Ces attaques ciblent sp\u00e9cifiquement les technologies de pare-feu et de virtualisation en raison du fait qu’elles ne prennent pas en charge les solutions de d\u00e9tection et de r\u00e9ponse des points finaux (EDR) afin de persister dans les environnements cibles pendant de longues p\u00e9riodes.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n