Mandiant’tan güvenlik araştırmacıları, Eylül 2022’den beri izlenen bir kampanyanın parçası olarak bir VMware ESXi sıfır gün güvenlik açığından yararlanan Çinli bir APT grubu belirlediler.
UNC3886 olarak etiketlenen bir Mandiant grubu tarafından gerçekleştirilen saldırılar ilk olarak geçen yıl şirketin UNC3886’yı kimlik bilgileri toplama ve arka kapı konuşlandırmasıyla suçlamasıyla gözlemlendi.
Saldırganlar ayrıca güvenliği ihlal edilmiş sistemlerde oturum açmayı devre dışı bırakarak soruşturmaları engellemeye çalışır.
Mandiant, sıfır-gün CVE-2023-20867’nin kullanımının yeni olduğunu söyledi.
VMware’in CVE danışmanlığı bunu yalnızca düşük riskli olarak derecelendirdi çünkü yalnızca “tamamen tehlikeye atılmış bir ESXi ana bilgisayarına” sahip bir saldırgan, yani sunucuya root erişimi olan biri tarafından kullanılabilir.
VMware, sorunu düzeltmek için VMware Tools 12.2.5’i yayınlayarak, “Tam olarak güvenliği ihlal edilmiş bir ESXi ana bilgisayarı, VMware Tools’u ana bilgisayardan misafire işlemleri doğrulamakta başarısız olmaya zorlayabilir ve konuk sanal makinenin gizliliğini ve bütünlüğünü etkileyebilir” dedi.
UNC3886’nın etkinliğini açıklayan Mandiant, “saldırganın, konuk kimlik bilgilerine ihtiyaç duymadan güvenliği ihlal edilmiş bir ESXi ana bilgisayarından konuk VM’lere dosya aktarmak ve komutları yürütmek için CVE-2023-20867 sıfır gün güvenlik açığından yararlandığını” yazdı.
“Ayrıca, CVE-2023-20867 kullanımı, ESXi ana bilgisayarından komutlar yürütüldüğünde konuk VM’de bir kimlik doğrulama günlüğü olayı oluşturmuyor” diye yazdı.
UNC3886’nın uzun kimlik bilgileri toplama kampanyası, 2022’deki bir güvenlik açığı olan CVE-2022-22948’e dayanıyordu.
Pentera araştırmacısı Yuval Lazar tarafından keşfedilen CVE-2022-22848, saldırganların bir vCenter sunucusunda depolanan vpxuser kimlik bilgilerini toplamasına izin veren bir ayrıcalık yükseltme hatasıydı.
Ellerindeki bu kimlik bilgileriyle, saldırganlar ana bilgisayar ve konuk makine numaralandırması gerçekleştirdiler ve vCenter’ı ESXi güvenlik duvarına çevirerek kötü amaçlı yazılım yükleyebildiler.
CVE-2023-20867, istismar için yalnızca iki koşula bağlıydı: ESXi ana bilgisayarına ayrıcalıklı erişimi olan bir saldırgan (saldırganların önceki kampanyalarında elde ettikleri kimlik bilgileri); ve VMware Tools’un kurulu olduğu hedef makine.
Etkilenen şirketler, yanal hareket ve kalıcılık sağlamak için UNC3886’nın güvenliği ihlal edilmiş sistemlere kurduğu VirtualPita ve VirtualGate arka kapılarını aramalıdır.