Evidências sugerem que um grupo chinês de ciberespionagem, rastreado como UNC3886, tem explorado uma vulnerabilidade de dia zero recente do VMware vCenter Server desde 2021, de acordo com levantamento da Mandiant, empresa de segurança cibernética Mandiant, de propriedade do Google.
A falha, identificada como CVE-2023-34048 e com classificação de 9.8 no sistema de pontuação comum de vulnerabilidades (CVSS), é um bug de gravação fora dos limites na implementação do protocolo DCERPC da VMware que pode permitir que um invasor com acesso à rede execute código arbitrário remotamente.
A VMware lançou patches para a vulnerabilidade em outubro, observando que, devido à gravidade do bug e à falta de soluções alternativas, decidiu disponibilizar a correção para versões de produtos que atingiram o status de fim de vida (EoL) também.
Na semana passada, a empresa de tecnologia de virtualização atualizou seu comunicado para alertar que estava ciente da exploração do CVE-2023-34048, sem fornecer informações específicas sobre os ataques observados.
Na sexta-feira passada, 19, a Mandiant revelou que a exploração do CVE-2023-34048 provavelmente começou há um ano e meio e que um sofisticado grupo de espionagem ligado à China, denominado UNC3886. “O UNC3886 tem um histórico de utilização de vulnerabilidades de dia zero para completar sua missão sem ser detectado, e este exemplo mais recente demonstra ainda mais suas capacidades”, disse a empresa de segurança cibernética.
A análise da Mandiant do caminho de ataque que explora o CVE-2023-20867 revelou a presença de entradas específicas nos logs de falhas do serviço VMware, mostrando que o serviço ‘vmdird’ travaria pouco antes de as backdoors do invasor serem implantadas. “A análise do core dump do vmdird pela Mandiant e pela VMware Product Security mostrou que a falha do processo está intimamente alinhada com a exploração do CVE-2023-34048.”
Veja isso
VMware confirma falha no vCenter explorada em ataques
Broadcom deve concluir compra da VMWare na quarta-feira
As mesmas falhas, apontou Mandiant, foram observadas em várias invasões UNC3886 a partir do final de 2021, “deixando uma janela de aproximadamente um ano e meio para que este invasor tivesse acesso a esta vulnerabilidade”.
A empresa de segurança cibernética também observou que os invasores removeram os core dumps ‘vmdird’ dos ambientes comprometidos, para encobrir seus rastros, embora as entradas de log tenham sido preservadas.
A VMware corrigiu a vulnerabilidade no vCenter versão 8.0U2 e disponibilizou as correções para o vCenter Server versões 8.0U1, 7.0U3, 6.7U3, 6.5U3 e VCF 3.x, bem como para o Async vCenter Server VCF 5.x e 4. x implantações.
Os clientes da VMware são aconselhados a aplicar os patches disponíveis o mais rápido possível.
Para ter acesso completo ao relatório da Mandiant, em inglês, sobre a exploração do CVE-2023-34048 no vCenter Server clique aqui.