Eine fortschrittliche Cyber-Spionagegruppe mit Verbindungen nach China, die zuvor mit der Ausnutzung von Sicherheitslücken in VMware- und Fortinet-Geräten in Verbindung gebracht wurde, wurde nun mit dem Missbrauch einer kritischen Schwachstelle in VMware vCenter Server als Zero-Day seit Ende 2021 in Verbindung gebracht. Das Unternehmen Mandiant, das zu Google gehört, stellte in einem Bericht vom Freitag fest: „UNC3886 hat eine Erfolgsbilanz bei der Nutzung von Zero-Day-Schwachstellen, um ihre Mission unbemerkt abzuschließen, und dieses neueste Beispiel zeigt ihre Fähigkeiten weiter.“
Bei der betreffenden Schwachstelle handelt es sich um CVE-2023-34048 (CVSS-Score: 9,8), ein Out-of-Bounds-Schreiben, das von einem bösartigen Akteur mit Netzwerkzugriff auf vCenter Server genutzt werden kann. Das von dem Unternehmen Broadcom behoben wurde am 24. Oktober 2023.
Der Anbieter von Virtualisierungsdiensten aktualisierte diese Woche seine Informationen um anzuerkennen, dass „Ausnutzungen von CVE-2023-34048 in freier Wildbahn stattgefunden haben.“
UNC3886 wurde erstmals im September 2022 bekannt, als festgestellt wurde, dass es zuvor unbekannte Sicherheitslücken in VMware nutzt, um Windows- und Linux-Systeme zu backdooren und Malware-Familien wie VIRTUALPITA und VIRTUALPIE einzusetzen.
Die neuesten Ergebnisse von Mandiant zeigen, dass die Zero-Day-Schwachstelle, die von der staatlich unterstützten Gruppe genutzt wurde, die es auf VMware abgesehen hatte, keine andere als CVE-2023-34048 war. Dadurch konnte sie privilegierten Zugriff auf das vCenter-System erlangen und alle ESXi-Hosts und ihre zugehörigen Gast-Virtual-Machines, die an das System angeschlossen sind, auflisten.
Die nächste Phase des Angriffs besteht darin, die Klartext-Zugangsdaten „vpxuser“ für die Hosts abzurufen und sich mit ihnen zu verbinden, um die VIRTUALPITA- und VIRTUALPIE-Malware zu installieren. Dadurch kann der Angreifer direkt auf die Hosts zugreifen.
Dies legt letztendlich die Nutzung einer anderen VMware-Schwachstelle (CVE-2023-20867, CVSS-Score: 3,9) für die Ausführung beliebiger Befehle und den Dateitransfer zu und von Gast-VMs von einem kompromittierten ESXi-Host nahe, wie von Mandiant im Juni 2023 enthüllt wurde.
VMware-vCenter-Server-Benutzern wird empfohlen, auf die neueste Version zu aktualisieren, um potenzielle Bedrohungen zu minimieren.
In den letzten Jahren hat UNC3886 auch von CVE-2022-41328 (CVSS-Score: 6,5) profitiert, einer Pfad-Traversal-Schwachstelle in der Fortinet FortiOS-Software, um THINCRUST- und CASTLETAP-Implantate bereitzustellen, um beliebige Befehle von einem Remote-Server zu empfangen und sensible Daten zu exfiltrieren.
Diese Angriffe zielen speziell auf Firewall- und Virtualisierungstechnologien ab, da sie keine Unterstützung für Endpunkt-Erkennungs- und Reaktionslösungen bieten, um in Zielumgebungen über längere Zeiträume fortzubestehen.