Menu dostępności

Chińscy hakerzy od 2 lat przygotowywali lukę zero-day pod VMware

Po publicznym zgłoszeniu i załataniu w październiku 2023 r. luki CVE-2023-34048 Mandiant i VMware Product Security odkryły, że UNC3886 (zaawansowana grupa szpiegowska powiązana z Chinami) wykorzystywała podatność już pod koniec 2021 roku!

Ustalenia te wynikają z trwających badań firmy Mandiant (Google Cloud) nad nowatorskimi ścieżkami ataku wykorzystywanymi przez UNC3886. W przeszłości skupiały się one na technologiach, w których nie można wdrożyć EDR. UNC3886 ma doświadczenie w wykorzystywaniu luk typu zero-day w celu ukończenia swojej misji bez wykrycia, a najnowszy przykład demonstruje ich rozległe możliwości.

Na poniższym rysunku przedstawiono ścieżkę ataku obrazującą przepływ aktywności atakującego w ekosystemie VMware (tj. vCenter, Hypervisors ESXi, Virtualized Guest Machines). W tamtym czasie, na podstawie dostępnych dowodów, Mandiant kontynuował badania nad wdrażaniem backdoorów w systemach vCenter.

ścieżka ataku obrazująca przepływ aktywności atakującego w ekosystemie VMware
Źródło: mandiant.com

Pod koniec 2023 r. zaobserwowano podobieństwo między systemami vCenter, których dotyczy problem, co wyjaśnia, w jaki sposób osoba atakująca uzyskała początkowy dostęp do systemów. Poniższe wpisy znajdujące się w dziennikach awarii usługi VMware (/var/log/vMonCoredumper.log) przedstawiają awarię usługi „vmdird” na kilka minut przed wdrożeniem backdoorów atakującego.

 dziennii awarii usługi VMware
Źródło: mandiant.com

Analiza core dump „vmdird” przeprowadzona zarówno przez Mandiant, jak i VMware Product Security wykazała, że awaria procesu jest ściśle powiązana z wykorzystaniem CVE-2023-34048. W skrócie, luka ta umożliwia zapis out-of-bounds we wdrażaniu protokołu DCE/RPC, co umożliwia nieuwierzytelnione zdalne wykonywanie poleceń w systemach podatnych na ataki.

Choć podatność została publicznie zgłoszona i załatana w październiku 2023, Mandiant zaobserwował takie awarie w wielu przypadkach UNC3886 między końcem 2021 a początkiem 2022 r., pozostawiając osobie atakującej około półtora roku dostępu do tej luki. W większości środowisk, w których zaobserwowano taki crash, wpisy w logu zostały zachowane, ale same zrzuty pamięci „vmdird” usunięto. Domyślne konfiguracje VMware przechowują zrzuty w systemie przez czas nieokreślony, co sugeruje, że zostały celowo usunięte przez osobę atakującą, próbującą zatrzeć ślady. J

ak wspomniano w poradniku VMware, luka ta została już załatana w vCenter 8.0U2, ale Mandiant zaleca użytkownikom VMware aktualizację do jak najnowszej wersji.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...