Google Mandiant近日示警與中國相關的高級網路間諜組織UNC3886利用 VMware 和 Fortinet 設備中的安全漏洞進行攻擊。UNC3886自 2021 年底以來持續濫用 VMware vCenter Server 中的關鍵漏洞作為零日漏洞。
Google Mandiant在近日的一份報告中表示,UNC3886 擁有利用零日漏洞在不被發現的情況下完成任務的記錄,而CVE-2023-34048這個最新的例子進一步證明了UNC3886的能力。
CVE-2023-34048漏洞(CVSS 評分:9.8),是一種越界寫入,可以被具有 vCenter Server 網路存取權限的惡意攻擊者利用來實現遠端程式碼執行。VMware於 2023 年 10 月 24 日修復了這個問題。
VMware於稍早更新了其公告,承認CVE-2023-34048 的利用已經在野外發生。
UNC3886於 2022 年 9 月首次曝光,當時發現它利用 VMware 中以前未知的安全漏洞對 Windows 和 Linux 系統部署後門,如 VIRTUALPITA 和 VIRTUALPIE 等惡意軟體系列,使攻擊者能夠直接連接到主機。。
Mandiant 的最新調查結果顯示, CVE-2023-34048使UNC3886能夠獲得對 vCenter 系統的特權存取權限,以及所有ESXi 主機及與主機相連的虛擬機器。
Mandiant 曾在 2023 年 6 月所揭露的那樣,CVE-2023-34048 最終為利用另一個VMware 漏洞 CVE-2023-20867(CVSS 評分:3.9)鋪路以執行任意命令並從受感染的ESXi 主機與相連的虛擬機之間傳輸檔案。
建議 VMware vCenter Server 使用者更新至最新版本以減輕任何潛在威脅。
近年來,UNC3886也利用CVE-2022-41328(CVSS評分:6.5)(Fortinet FortiOS軟體中的路徑遍歷缺陷)部署THINCRUST和CASTLETAP植入程序,以執行從遠端伺服器接收的任意命令並洩露敏感資料。
這些攻擊手法專門針對防火牆和虛擬化技術,因為它們缺乏對端點偵測和回應 (EDR) 解決方案的防禦,無法在目標環境中長期存在。
根据Shadowserver Foundation 的数据,目前有数百个暴露于公開網路的 VMware vCenter Server可能存在漏洞。VMware 產品成為惡意攻擊者攻擊目標的情況很常見,美國安全機構 CISA的已知被利用漏洞目錄目前包括 21 個VMware 產品漏洞。
相關文章:五眼聯盟公布 2022 年遭駭最嚴重 12 個漏洞
本文轉載自TheHackerNews。