Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm

Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm

Một nhóm gián điệp mạng tiên tiến của Trung Quốc-nexus trước đây có liên quan đến việc khai thác các lỗ hổng bảo mật trong các thiết bị VMware và Fortinet đã bị cho là lạm dụng lỗ hổng nghiêm trọng trong VMware vCenter Server kể từ cuối năm 2021.

Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm

“UNC3886 có hồ sơ theo dõi về việc sử dụng các lỗ hổng zero-day để hoàn thành nhiệm vụ của mình mà không bị phát hiện và ví dụ mới nhất này càng chứng tỏ khả năng của họ”, Mandiant thuộc sở hữu của Google cho biết trong một báo cáo hôm thứ Sáu.

Lỗ hổng được đề cập là CVE-2023-34048 (điểm CVSS: 9,8), một lỗ hổng ghi ngoài giới hạn có thể bị kẻ độc hại có quyền truy cập mạng vào vCenter Server sử dụng để thực thi mã từ xa. Sự cố này đã được công ty thuộc sở hữu của Broadcom khắc phục vào ngày 24 tháng 10 năm 2023.

Nhà cung cấp dịch vụ ảo hóa, vào đầu tuần này, đã cập nhật lời khuyên của mình để thừa nhận rằng “việc khai thác CVE-2023-34048 đã xảy ra một cách tự nhiên”.

UNC3886 lần đầu tiên được đưa ra ánh sáng vào tháng 9 năm 2022 khi người ta phát hiện ra nó lợi dụng các lỗ hổng bảo mật chưa từng được biết trước đây trong VMware để chạy backdoor các hệ thống Windows và Linux, triển khai các dòng phần mềm độc hại như VIRTUALPITA và VIRTUALPIE.

Những phát hiện mới nhất từ Mandiant cho thấy rằng lỗ hổng zero-day được kẻ tấn công quốc gia nhắm vào VMware sử dụng không ai khác chính là CVE-2023-34048, cho phép nó có được quyền truy cập đặc quyền vào hệ thống vCenter và liệt kê tất cả các máy chủ ESXi và khách tương ứng của chúng. máy ảo gắn liền với hệ thống.

Giai đoạn tiếp theo của cuộc tấn công liên quan đến việc truy xuất thông tin xác thực "vpxuser" dạng văn bản rõ ràng cho máy chủ và kết nối với chúng để cài đặt phần mềm độc hại VIRTUALPITA và VIRTUALPIE, từ đó cho phép kẻ thù kết nối trực tiếp với máy chủ.

Điều này cuối cùng mở đường cho việc khai thác một lỗ hổng khác của VMware, (CVE-2023-20867, điểm CVSS: 3.9), để thực thi các lệnh tùy ý và truyền tệp đến và từ các máy ảo khách từ máy chủ ESXi bị xâm nhập, như Mandiant tiết lộ vào tháng 6 năm 2023.

Người dùng VMware vCenter Server được khuyến nghị cập nhật lên phiên bản mới nhất để giảm thiểu mọi mối đe dọa tiềm ẩn.

Trong những năm gần đây, UNC3886 cũng đã lợi dụng CVE-2022-41328 (điểm CVSS: 6,5), một lỗ hổng truyền tải đường dẫn trong phần mềm Fortinet FortiOS, để triển khai bộ cấy THINCRUST và CASTLETAP nhằm thực thi các lệnh tùy ý nhận được từ máy chủ từ xa và lấy cắp dữ liệu nhạy cảm. .

Các cuộc tấn công này đặc biệt nhắm vào các công nghệ tường lửa và ảo hóa do chúng thiếu hỗ trợ cho các giải pháp phát hiện và phản hồi điểm cuối (EDR) để tồn tại trong môi trường mục tiêu trong thời gian dài.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Hướng dẫn cách ngắt kết nối thiết bị cũ khỏi tài khoản My Kaspersky khi cài lại hệ điều hành Windows

Bài viết này sẽ hướng dẫn bạn cách ngắt kết nối thiết bị cũ khỏi tài khoản My Kaspersky khi cài lại hệ điều hành Windows.

Chi tiết
Standard Post with Image

Nhiều trang web chống virus giả mạo này phát tán phần mềm độc hại trên Android và Windows

Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng giải pháp chống vi-rút hợp pháp từ Avast,...

Chi tiết
Standard Post with Image

Các nhà nghiên cứu phát hiện hoạt động khai thác khoáng sản plugin WordPress

Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao trong plugin WordPress đang bị các tác nhân đe dọa...

Chi tiết