هکرهای چینی بی سر و صدا از VMware zero-day به مدت دو سال سوء استفاده کردند

Bia2 Host
هکرهای چینی بی سر و صدا از VMware zero-day به مدت دو سال سوء استفاده کردند

هکرهای چینی بی سر و صدا از VMware zero-day به مدت دو سال سوء استفاده کردند

کارشناسان فاش کردند که هکرهای تحت حمایت دولت چین موسوم به UNC3886 سال‌ها از آسیب‌پذیری روز صفر در دستگاه‌های VMware و Fortinet سوء استفاده کرده‌اند.

آ گزارش از Mandiant ادعا می کند که گروه از این نقص برای استقرار استفاده کرده است بد افزاراعتبارنامه ها را بدزدند و در نهایت داده های حساس را استخراج کنند.

نقص مورد نظر به عنوان CVE-2023-34048 ردیابی می شود. این دارای امتیاز شدت ۹٫۸/۱۰ (بحرانی) است و به عنوان یک نقص نوشتن خارج از محدوده توصیف می شود که به مهاجمان با دسترسی به سرور vCenter امکان اجرای کد از راه دور را می دهد. این پچ در اواخر اکتبر ۲۰۲۳ منتشر شد.

مشتریان دائمی VMware

Mandiant در این گزارش توضیح داد: «UNC3886 سابقه استفاده از آسیب‌پذیری‌های روز صفر برای تکمیل مأموریت خود را بدون شناسایی دارد، و این آخرین نمونه توانایی‌های آن‌ها را بیشتر نشان می‌دهد». با کمک CVE-2023-34048، UNC3886 مجاز بود تمام هاست های ESXi و ماشین های مجازی مهمان را در یک سیستم آسیب پذیر شمارش کند و سپس اعتبارنامه های متن شفاف “vpxuser” را برای هاست ها بکشد. گام بعدی نصب بدافزار VIRTUALPITA و VIRTUALPIE بود که دسترسی مستقیم به نقاط پایانی در معرض خطر را اعطا می‌کرد.

از آن نقطه، مهاجمان از یک نقص جداگانه، CVE-2023-20867 (نمره شدت ۳٫۹)، برای اجرای دستورات دلخواه و بیرون کشیدن اطلاعات حساس از دستگاه ها سوء استفاده کردند.

VMware از کاربران سرور vCenter می خواهد که سریعا آخرین پچ را اعمال کنند.

آخرین باری که نام UNC3886 را شنیدیم در سپتامبر ۲۰۲۲ بود، زمانی که محققان متوجه شدند که این گروه برای دسترسی به ماشین‌های مجازی و جاسوسی از مشاغل در غرب، هایپروایزرهای ESXi VMware را به خطر می‌اندازد. در آن زمان، مشاهده شد که این گروه با استفاده از vSphere Installation Bundles دو برنامه مخرب را روی هایپروایزرهای فلزی خالی نصب می‌کردند – همان برنامه‌هایی که در این حمله وجود داشت. علاوه بر این، آنها یک بدافزار/دراپگر منحصر به فرد به نام VirtualGate کشف کردند.

برخلاف این حمله، که در آن روز صفر مورد سوء استفاده قرار می‌گرفت، در رویداد قبلی، گروه به سادگی از دسترسی سطح مدیریت به هایپروایزرهای ESXi برای نصب ابزارهای خود استفاده کرد.

از طریق TheHackerNews

بیشتر از TechRadar Pro


منبع: https://www.techradar.com/pro/security/chinese-hackers-quietly-exploited-a-vmware-zero-day-for-two-years

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *