Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm
Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm
Một nhóm gián điệp mạng tiên tiến của Trung Quốc-nexus trước đây có liên quan đến việc khai thác các lỗ hổng bảo mật trong các thiết bị VMware và Fortinet đã bị cho là lạm dụng lỗ hổng nghiêm trọng trong VMware vCenter Server kể từ cuối năm 2021.
“UNC3886 có hồ sơ theo dõi về việc sử dụng các lỗ hổng zero-day để hoàn thành nhiệm vụ của mình mà không bị phát hiện và ví dụ mới nhất này càng chứng tỏ khả năng của họ”, Mandiant thuộc sở hữu của Google cho biết trong một báo cáo hôm thứ Sáu.
Lỗ hổng được đề cập là CVE-2023-34048 (điểm CVSS: 9,8), một lỗ hổng ghi ngoài giới hạn có thể bị kẻ độc hại có quyền truy cập mạng vào vCenter Server sử dụng để thực thi mã từ xa. Sự cố này đã được công ty thuộc sở hữu của Broadcom khắc phục vào ngày 24 tháng 10 năm 2023.
Nhà cung cấp dịch vụ ảo hóa, vào đầu tuần này, đã cập nhật lời khuyên của mình để thừa nhận rằng “việc khai thác CVE-2023-34048 đã xảy ra một cách tự nhiên”.
UNC3886 lần đầu tiên được đưa ra ánh sáng vào tháng 9 năm 2022 khi người ta phát hiện ra nó lợi dụng các lỗ hổng bảo mật chưa từng được biết trước đây trong VMware để chạy backdoor các hệ thống Windows và Linux, triển khai các dòng phần mềm độc hại như VIRTUALPITA và VIRTUALPIE.
Những phát hiện mới nhất từ Mandiant cho thấy rằng lỗ hổng zero-day được kẻ tấn công quốc gia nhắm vào VMware sử dụng không ai khác chính là CVE-2023-34048, cho phép nó có được quyền truy cập đặc quyền vào hệ thống vCenter và liệt kê tất cả các máy chủ ESXi và khách tương ứng của chúng. máy ảo gắn liền với hệ thống.
Giai đoạn tiếp theo của cuộc tấn công liên quan đến việc truy xuất thông tin xác thực "vpxuser" dạng văn bản rõ ràng cho máy chủ và kết nối với chúng để cài đặt phần mềm độc hại VIRTUALPITA và VIRTUALPIE, từ đó cho phép kẻ thù kết nối trực tiếp với máy chủ.
Điều này cuối cùng mở đường cho việc khai thác một lỗ hổng khác của VMware, (CVE-2023-20867, điểm CVSS: 3.9), để thực thi các lệnh tùy ý và truyền tệp đến và từ các máy ảo khách từ máy chủ ESXi bị xâm nhập, như Mandiant tiết lộ vào tháng 6 năm 2023.
Người dùng VMware vCenter Server được khuyến nghị cập nhật lên phiên bản mới nhất để giảm thiểu mọi mối đe dọa tiềm ẩn.
Trong những năm gần đây, UNC3886 cũng đã lợi dụng CVE-2022-41328 (điểm CVSS: 6,5), một lỗ hổng truyền tải đường dẫn trong phần mềm Fortinet FortiOS, để triển khai bộ cấy THINCRUST và CASTLETAP nhằm thực thi các lệnh tùy ý nhận được từ máy chủ từ xa và lấy cắp dữ liệu nhạy cảm. .
Các cuộc tấn công này đặc biệt nhắm vào các công nghệ tường lửa và ảo hóa do chúng thiếu hỗ trợ cho các giải pháp phát hiện và phản hồi điểm cuối (EDR) để tồn tại trong môi trường mục tiêu trong thời gian dài.
Hương – Theo TheHackerNews
Tin liên quan:
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà quảng cáo của Microsoft bằng các quảng cáo Google...
Chi tiếtApple đã phát hành bản cập nhật phần mềm để giải quyết một số lỗi bảo mật trong danh mục đầu tư của mình, bao gồm lỗ hổng zero-day mà công ty cho...
Chi tiếtMột lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong khuôn khổ mô hình ngôn ngữ lớn (LLM) Llama của Meta, nếu khai thác thành công, có thể cho phép...
Chi tiết