Daha önce VMware ve Fortinet cihazlarındaki güvenlik açıklarından yararlanılmasıyla ilişkilendirilen gelişmiş bir Çin bağlantılı siber casusluk grubu, 2021’in sonlarından bu yana sıfır gün olarak VMware vCenter Server’daki kritik bir güvenlik açığının kötüye kullanılmasıyla ilişkilendirildi.
Google’ın sahibi Mandiant Cuma günü yayınlanan bir raporda, “UNC3886’nın sıfır gün güvenlik açıklarından yararlanarak misyonunu tespit edilmeden tamamlama konusunda bir geçmişi var ve bu son örnek onların yeteneklerini daha da gösteriyor” dedi.
Söz konusu güvenlik açığı, vCenter Sunucusuna ağ erişimi olan kötü niyetli bir aktör tarafından kullanılabilecek, sınırların dışında bir yazma işlemi olan CVE-2023-34048’dir (CVSS puanı: 9,8). Sorun, Broadcom’un sahibi olduğu şirket tarafından 24 Ekim 2023’te düzeltildi.
Sanallaştırma hizmetleri sağlayıcısı, bu haftanın başlarında, tavsiye metnini “CVE-2023-34048’in vahşi doğada istismar edildiğini” kabul edecek şekilde güncelledi.
UNC3886, ilk olarak Eylül 2022’de VMware’deki önceden bilinmeyen güvenlik kusurlarından yararlanarak Windows ve Linux sistemlerine arka kapı açarak VIRTUALPITA ve VIRTUALPIE gibi kötü amaçlı yazılım ailelerini dağıttığı tespit edildiğinde gün ışığına çıktı.
Mandiant’ın son bulguları, ulus devlet aktörünün VMware’i hedef alan sıfır gün silahının, vCenter sistemine ayrıcalıklı erişim elde etmesine ve tüm ESXi ana bilgisayarlarını ve ilgili konuklarını numaralandırmasına olanak tanıyan CVE-2023-34048’den başkası olmadığını gösteriyor. Sisteme bağlı sanal makineler.
Saldırının bir sonraki aşaması, ana bilgisayarlar için açık metin “vpxuser” kimlik bilgilerinin alınmasını ve VIRTUALPITA ve VIRTUALPIE kötü amaçlı yazılımını yüklemek için bunlara bağlanmayı ve böylece düşmanın ana bilgisayarlara doğrudan bağlanmasını sağlamayı içerir.
Mandiant’ın Haziran 2023’te açıkladığı gibi, bu sonuçta başka bir VMware kusurunun (CVE-2023-20867, CVSS puanı: 3,9) kullanılmasına ve keyfi komutların yürütülmesine ve güvenliği ihlal edilmiş bir ESXi ana bilgisayarından konuk VM’lere dosya aktarımına yol açıyor.
VMware vCenter Server kullanıcılarının olası tehditleri azaltmak için en son sürüme güncellemeleri önerilir.
Son yıllarda UNC3886, uzak bir sunucudan alınan rastgele komutları yürütmek ve hassas verileri sızdırmak amacıyla THINCRUST ve CASTLETAP implantlarını dağıtmak için Fortinet FortiOS yazılımındaki bir yol geçiş kusuru olan CVE-2022-41328’den (CVSS puanı: 6,5) yararlandı. .
Bu saldırılar, hedef ortamlarda uzun süre kalabilmek için uç nokta algılama ve yanıt (EDR) çözümlerine yönelik destek eksikliği nedeniyle özellikle güvenlik duvarı ve sanallaştırma teknolojilerini öne çıkarıyor.