Новости CVE-2023-34048: zero-day, который тайно эксплуатировался около двух лет

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Китайская UNC3886 не оставляет шансов на конфиденциальность пользователям VMware.


qjvrlblj0ajtfiiqz6lihsg29ecemza0.jpg


Группа киберпреступников, связанная с Китаем и известная как UNC3886 , тайно использовала критическую zero-day уязвимость в системе управления VMware vCenter Server с конца 2021 года. Эта информация была раскрыта в Для просмотра ссылки Войди или Зарегистрируйся компании Mandiant .

Уязвимость, получившая обозначение Для просмотра ссылки Войди или Зарегистрируйся и оценку 9.8 по шкале CVSS , представляет собой ошибку записи за пределами выделенного блока ( Out-of-bounds Write), которая позволяет злоумышленнику с доступом к сети vCenter Server произвести удалённое выполнение кода. 24 октября 2023 года, вскоре после выявления уязвимости, она была устранена компанией Broadcom .

В начале недели VMware обновила Для просмотра ссылки Войди или Зарегистрируйся по устранению последствий от этой уязвимости, где подтвердила, что CVE-2023-34048 эксплуатировалась в реальных условиях.

UNC3886 впервые привлекла внимание к своим действиям в сентябре 2022 года, когда было обнаружено, что группа использует неизвестные ранее уязвимости в VMware для внедрения бэкдоров в системы Windows и Linux . Среди распространяемого вредоносного софта были в том числе программы VirtualPita и VirtualPie.

Последние данные от Mandiant показывают, что уязвимостью нулевого дня, использованной китайскими хакерами UNC3886 для атаки на VMware, была именно CVE-2023-34048. Эксплуатация позволила злоумышленникам получить привилегированный доступ к системе vCenter, перечислить все хосты ESXi и подключенные к ним виртуальные машины.

Далее атакующие получили доступ к учётным данным «vpxuser» хостов в открытом виде и подключились к ним для установки вредоносного ПО, что позволило подключаться к хостам напрямую.

Данная последовательность действий, в свою очередь, открывает путь к эксплуатации другой уязвимости VMware — Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 3.9), позволяя выполнять произвольные команды и передавать файлы между виртуальными машинами и скомпрометированным хостом ESXi. Об этом Mandiant Для просмотра ссылки Войди или Зарегистрируйся в июне 2023 года.

Пользователям VMware vCenter Server рекомендуется как можно скорее обновиться до последней версии ПО, чтобы минимизировать любые потенциальные угрозы.

В последние годы UNC3886 также часто использовала уязвимость Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 6.5) в программном обеспечении Fortinet FortiOS Для просмотра ссылки Войди или Зарегистрируйся инструментов THINCRUST и CASTLETAP, позволяющих выполнять произвольные команды с удалённого сервера и эксфильтровать конфиденциальные данные.

Эти атаки особенно опасны для технологий брандмауэров и виртуализации, поскольку они часто не поддерживают EDR -решения, что позволяет злоумышленникам длительное время оставаться в целевых средах.
 
Источник новости
www.securitylab.ru

Похожие темы