Ciber espiões chineses exploraram falha do VMware vCenter sem serem detectadas por mais de um ano

Início / Tecnologia da Informação / Ciber espiões chineses exploraram falha do VMware vCenter sem serem detectadas por mais de um ano
Ciber espiões chineses exploraram falha do VMware vCenter sem serem detectadas por mais de um ano

Em outubro, a VMware corrigiu uma falha crítica de execução remota de código em seu vCenter Server (CVE-2023-34048) e produtos empresariais Cloud Foundation usados para gerenciar máquinas virtuais em nuvens híbridas. Descobriu-se agora que um grupo chinês de ciber espionagem explorava a vulnerabilidade há 1,5 anos antes de o patch ser disponibilizado.

“Essas descobertas resultam da pesquisa contínua da Mandiant sobre os novos caminhos de ataque usados pelo UNC3886, que historicamente se concentra em tecnologias que não podem ter EDR implantado neles”, disseram pesquisadores da empresa de segurança Mandiant em um relatório no final da semana passada. “UNC3886 tem um histórico de utilização de vulnerabilidades de dia zero para completar sua missão sem ser detectado, e este exemplo mais recente demonstra ainda mais suas capacidades.”

Leia também:

Entradas de log suspeitas da VMware datam de 2021

Em junho de 2023, Mandiant documentou como o grupo chinês rastreado como UNC3886 explorou uma vulnerabilidade de desvio de autenticação de dia zero no VMware Tools (CVE-2023-20867) para implantar backdoors dentro de VMs convidadas de hosts ESXi comprometidos. Esse fluxo de ataque descrito pela Mandiant começou com os hackers primeiro obtendo acesso aos servidores vCenter e depois usando técnicas conhecidas para extrair credenciais de texto não criptografado para a conta vpxuser para todos os hosts ESXi conectados ao servidor. Isso permitiu que eles acessassem esses hosts e explorassem o CVE-2023-20867 para implantar malware.

No entanto, a senha do vpxuser — uma conta criada automaticamente em hosts ESXi quando associada a um servidor vCenter — é criptografada por padrão. Em um sistema vCenter totalmente corrigido, a quebra de senhas requer acesso root. Então, como os invasores obtiveram acesso root aos servidores vCenter? Explorando a vulnerabilidade CVE-2023-34048 que foi corrigida posteriormente em outubro de 2023.

Os analistas forenses da Mandiant encontraram algo em comum em sistemas vCenter comprometidos, onde os logs de falhas localizados em /var/log/vMonCoredumper.log mostravam o serviço “vmdird” travando minutos antes de os invasores implantarem seu malware. Depois de compartilhar essa observação com a equipe de segurança de produtos da VMware, juntamente com dumps de memória do processo vmdird com falha, chegou-se à conclusão de que as falhas estão intimamente alinhadas com o comportamento observado durante a exploração do CVE-2023-34048.

A falha CVE-2023-34048 é uma gravação fora dos limites na implementação do protocolo DCERPC que leva a uma falha e à execução arbitrária de código. A falha pode ser explorada remotamente pela rede.

“A VMware recomenda fortemente o controle estrito de acesso ao perímetro de rede para todos os componentes e interfaces de gerenciamento no vSphere e componentes relacionados, como armazenamento e componentes de rede, como parte de uma postura de segurança geral eficaz”, disse a VMware em um documento de perguntas frequentes associado à vulnerabilidade. “As portas de rede específicas envolvidas nesta vulnerabilidade são 2012/tcp, 2014/tcp e 2020/tcp.”

A Mandiant observou que observou sinais dessas falhas em logs de ambientes comprometidos desde o final de 2021 e início de 2022, mas os core dumps vmdird não estavam presentes nesses sistemas. Um core dump de memória é gerado automaticamente quando um processo falha e a configuração padrão do VMware é manter esses core dumps no sistema por um período de tempo indefinido. O fato de terem sido removidos em muitos sistemas sugere que os invasores os excluíram propositalmente para encobrir seus rastros.

Embora relatado publicamente e corrigido em outubro de 2023, a Mandiant observou essas falhas em vários casos UNC3886 entre o final de 2021 e o início de 2022, deixando uma janela de aproximadamente um ano e meio para que este invasor tivesse acesso a esta vulnerabilidade. A maioria dos ambientes onde essas falhas foram observadas tinham entradas de log preservadas, mas os próprios core dumps vmdird foram removidos. As configurações padrão do VMware mantêm core dumps por um período indefinido no sistema, sugerindo que os core dumps foram removidos propositalmente pelo invasor para encobrir seus rastros.

As organizações já devem ter os patches para CVE-2023-34048 aplicados. No entanto, a revelação de que os hackers exploraram esta falha durante 1,5 anos como um dia zero é preocupante e deve levar a investigações adicionais sobre os ambientes, especialmente para os indicadores de comprometimento e backdoors UNC3886 documentados pela Mandiant.

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.