Эксперты обнаружили, что спонсируемые государством хакеры Китая, известные как UNC3886, уже много лет используют уязвимость нулевого дня в устройствах VMware и Fortinet.
В отчете Mandiant утверждается, что группа использовала уязвимость для развертывания вредоносного ПО, кражи учетных данных и, в конечном итоге, для кражи конфиденциальных данных.
Рассматриваемая ошибка отслеживается как CVE-2023-34048. Она имеет уровень серьезности 9,8/10 (критический) и описывается как ошибка записи за пределами допустимого диапазона, которая может позволить злоумышленникам, имеющим доступ к vCenter Server, выполнить удаленный код. Патч вышел в конце октября 2023 года. Постоянные клиенты VMware
«UNC3886 имеет опыт использования уязвимостей нулевого дня для выполнения своей миссии незамеченным, и этот последний пример еще раз демонстрирует их возможности», — объясняет Мандиант в отчете. Используя CVE-2023-34048, UNC3886 было разрешено составить список всех хостов ESXi и гостевых виртуальных машин в уязвимой системе, а затем получить открытые текстовые учетные данные «vpxuser» для хостов. Следующим шагом была установка вредоносного ПО VIRTUALPITA и VIRTUALPIE, которое обеспечивало прямой доступ к скомпрометированным конечным точкам.
С тех пор злоумышленники использовали отдельную уязвимость CVE-2023-20867 (степень серьезности 3,9) для выполнения произвольных команд и получения конфиденциальной информации с устройств.
VMware призывает пользователей vCenter Server немедленно применить последнее исправление.
В последний раз мы слышали о UNC3886 в сентябре 2022 года, когда исследователи заметили группу, скомпрометировавшую гипервизоры VMware ESXi для получения доступа к виртуальным машинам и шпионажа за бизнесом на Западе. В то время было замечено, что группа устанавливала две вредоносные программы на «голые» гипервизоры с использованием установочных пакетов vSphere — тех же самых, которые использовались в этой атаке. Кроме того, они обнаружили уникальную вредоносную программу/дроппер под названием VirtualGate.
В отличие от этой атаки, в которой использовался нулевой день, в предыдущем инциденте группа просто использовала доступ на уровне администратора к гипервизорам ESXi для установки своих инструментов. Через HackerNews
Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с машинным переводом с английского : https://nybreaking.com/category/tech/
