Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm

Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm

Một nhóm gián điệp mạng tiên tiến của Trung Quốc-nexus trước đây có liên quan đến việc khai thác các lỗ hổng bảo mật trong các thiết bị VMware và Fortinet đã bị cho là lạm dụng lỗ hổng nghiêm trọng trong VMware vCenter Server kể từ cuối năm 2021.

Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm

“UNC3886 có hồ sơ theo dõi về việc sử dụng các lỗ hổng zero-day để hoàn thành nhiệm vụ của mình mà không bị phát hiện và ví dụ mới nhất này càng chứng tỏ khả năng của họ”, Mandiant thuộc sở hữu của Google cho biết trong một báo cáo hôm thứ Sáu.

Lỗ hổng được đề cập là CVE-2023-34048 (điểm CVSS: 9,8), một lỗ hổng ghi ngoài giới hạn có thể bị kẻ độc hại có quyền truy cập mạng vào vCenter Server sử dụng để thực thi mã từ xa. Sự cố này đã được công ty thuộc sở hữu của Broadcom khắc phục vào ngày 24 tháng 10 năm 2023.

Nhà cung cấp dịch vụ ảo hóa, vào đầu tuần này, đã cập nhật lời khuyên của mình để thừa nhận rằng “việc khai thác CVE-2023-34048 đã xảy ra một cách tự nhiên”.

UNC3886 lần đầu tiên được đưa ra ánh sáng vào tháng 9 năm 2022 khi người ta phát hiện ra nó lợi dụng các lỗ hổng bảo mật chưa từng được biết trước đây trong VMware để chạy backdoor các hệ thống Windows và Linux, triển khai các dòng phần mềm độc hại như VIRTUALPITA và VIRTUALPIE.

Những phát hiện mới nhất từ Mandiant cho thấy rằng lỗ hổng zero-day được kẻ tấn công quốc gia nhắm vào VMware sử dụng không ai khác chính là CVE-2023-34048, cho phép nó có được quyền truy cập đặc quyền vào hệ thống vCenter và liệt kê tất cả các máy chủ ESXi và khách tương ứng của chúng. máy ảo gắn liền với hệ thống.

Giai đoạn tiếp theo của cuộc tấn công liên quan đến việc truy xuất thông tin xác thực "vpxuser" dạng văn bản rõ ràng cho máy chủ và kết nối với chúng để cài đặt phần mềm độc hại VIRTUALPITA và VIRTUALPIE, từ đó cho phép kẻ thù kết nối trực tiếp với máy chủ.

Điều này cuối cùng mở đường cho việc khai thác một lỗ hổng khác của VMware, (CVE-2023-20867, điểm CVSS: 3.9), để thực thi các lệnh tùy ý và truyền tệp đến và từ các máy ảo khách từ máy chủ ESXi bị xâm nhập, như Mandiant tiết lộ vào tháng 6 năm 2023.

Người dùng VMware vCenter Server được khuyến nghị cập nhật lên phiên bản mới nhất để giảm thiểu mọi mối đe dọa tiềm ẩn.

Trong những năm gần đây, UNC3886 cũng đã lợi dụng CVE-2022-41328 (điểm CVSS: 6,5), một lỗ hổng truyền tải đường dẫn trong phần mềm Fortinet FortiOS, để triển khai bộ cấy THINCRUST và CASTLETAP nhằm thực thi các lệnh tùy ý nhận được từ máy chủ từ xa và lấy cắp dữ liệu nhạy cảm. .

Các cuộc tấn công này đặc biệt nhắm vào các công nghệ tường lửa và ảo hóa do chúng thiếu hỗ trợ cho các giải pháp phát hiện và phản hồi điểm cuối (EDR) để tồn tại trong môi trường mục tiêu trong thời gian dài.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Cổng bảo mật 2 bước MFA vẫn có thể bị tấn công bởi các chiêu thức này của tin tặc

Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay, hãy cùng khám phá 2 chiêu thức tiếp theo mà cổng...

Chi tiết
Standard Post with Image

4 chiêu thức tin tặc sử dụng kỹ thuật xã hội để vượt qua cổng bảo mật 2 bước MFA

Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà tin tặc hay sử dụng để vượt qua rào bảo mật MFA nhé!

Chi tiết
Standard Post with Image

Phần mềm độc hại Android MoqHao mới bị phát hiện với khả năng tự động thực thi

Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHao, tự động thực thi trên các thiết bị bị nhiễm mà...

Chi tiết