Çinli Bilgisayar Korsanları 2021’den Bu Yana VMware ESXi Sıfır Gününü İstismar Ediyor


VMware ESXi Sıfır Gün

2023’ün sonlarında, son derece gelişmiş bir Çin bağlantı noktası casusluk grubu olan UNC3886’nın, CVE-2023-34048 güvenlik açığını kullanarak VMware vCenter sistemlerinden yararlandığı tespit edildi. Bu tehdit aktörünün, üzerlerine EDR (Uç Nokta Tespiti ve Yanıtı) yüklenemeyen sistemlerden yararlanmasıyla tanınıyor.

Ayrıca tehdit aktörünün sistemlere sızmak, tamamen tespit edilmemek ve çeşitli kötü amaçlı faaliyetler gerçekleştirmek için sıfır gün güvenlik açıklarını kullandığı durumlar da yaşandı.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.


VMware ESXi Zero-day aracılığıyla arka kapı

Cyber ​​Security News ile paylaşılan raporlara göre tehdit faaliyeti, bir tehdit aktörünün VMware araçlarının ana bilgisayardan kimlik doğrulamasını durdurmasına olanak tanıyan bir kimlik doğrulama atlama güvenlik açığıyla ilişkilendirilen CVE-2023-20867’nin keşfiyle birlikte gözlemlendi. -misafir işlemleri.

Başlangıçta tehdit aktörleri, VMware vCenter sistemlerine bir arka kapı dağıtmak için CVE-2023-34048 güvenlik açığından yararlandı ve bundan önce “vmdird” hizmeti çöktü. CVE-2023-34048, güvenlik açığı bulunan sistemlerde kimliği doğrulanmamış uzak komutları yürütmek için kullanılabilecek bir sınır dışı yazma güvenlik açığıyla ilgilidir.

Güvenlik açığı Ekim 2023’te düzeltildi, ancak 2021’in sonları ile 2022’nin başları arasında kuruluşlarda gerçekleştirilen birkaç UNC3886 etkinliği vakası, neredeyse bir buçuk yıl boyunca fark edilmeyen istismara katkıda bulundu. Üstelik bazı durumlarda “vmdird” çekirdek dökümleri, tehdit aktörleri tarafından izlerini kapatmak amacıyla kaldırıldı.

Saldırı Vektörü

Tehdit aktörünün saldırı yolu, bir arka kapı dağıtmak için CVE-2023-34048’den yararlanılmasıyla başladı, ardından tüm ESXi ana bilgisayarları için vpxuser kimlik bilgilerinin alınması ve tüm ESXi ana bilgisayarlarının vCenter sunucusuna bağlı konuk VM’leriyle birlikte numaralandırılması izledi.

Sonunda tehdit aktörü, güvenliği ihlal edilmiş kimlik bilgileriyle vCenter sunucusundan ESXi ana bilgisayarlarına bağlandı ve ESXi ana bilgisayarlarına VIRTUALPITA ve VIRTUALPIE olmak üzere iki arka kapı daha yerleştirdi. Bundan sonra tehdit aktörü, konuşlandırılan arka kapılar aracılığıyla ESXi ana bilgisayarlarına doğrudan bağlanabilir.

Ardından tehdit aktörü, kimliği doğrulanmamış uzaktan komut yürütmeleri ve konuk VM’lere dosya aktarımı için ESXi ana bilgisayarlarındaki CVE-2023-20867’den yararlanmaya devam etti. Daha da ileri giderek, tehdit aktörü artık tam ağ komuta ve kontrolünü kurmuştur.

Saldırı yolu (Kaynak: Mandiant)
Saldırı yolu (Kaynak: Mandiant)

VMware tarafından yayımlanan duyuruya göre söz konusu güvenlik açığı vCenter’ın son sürümü olan 8.0U2’de düzeltildi.

Tehdit aktörlerinin bu tür istismarlarını önlemek için kuruluşların bu ürünlerin en son sürümüne yükseltmeleri önerilir.

Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.



Source link