El grup xinès de pirateria informàtica patrocinat per l’estat, UNC3886, està explotant una vulnerabilitat de zero-day (CVE-2023-20867) en els amfitrions de VMware ESXi per infiltrar-se en els sistemes Windows i Linux. La fallada permet l’execució de comandes privilegiades a través de màquines virtuals (VMs) convidades sense la necessitat d’autenticació de credencials del convidat, segons l’empresa de ciberseguretat Mandiant. El grup utilitza aquesta vulnerabilitat per introduir portes del darrere en els sistemes, desplegant el seu malware VIRTUALPITA i VIRTUALPIE als servidors VMware ESXi i vCenter. Prèviament, UNC3886 també havia explotat una fallada de seguretat en el sistema operatiu Fortinet FortiOS.
El grup es dirigeix a organitzacions dels sectors de defensa, tecnologia i telecomunicacions, particularment als EUA, Japó i la regió Àsia-Pacífic. Les capacitats de UNC3886 inclouen comprendre i utilitzar fallades en el programari de tallafocs i virtualització, extreure credencials dels servidors vCenter i transferir arxius cap a/des de les VMs convidades des d’amfitrions ESXi compromesos.
Una característica interessant de la tècnica de UNC3886 és el seu ús dels sòcols de la Interfície de Comunicació de Màquines Virtuals (VMCI) per al moviment lateral i la persistència, permetent-los establir un canal clandestí entre l’amfitrió i les VMs convidades. Això els proporciona un mitjà novell de persistència en un amfitrió amb porta del darrere sempre que l’atacant pugui obtenir accés inicial a qualsevol màquina convidada. La vigilància de UNC3886 és evident en els seus esforços per esborrar les seves traces manipulant els serveis de registre i eliminant selectivament esdeveniments de registre relacionats.
Source: The Hacker News
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.