En octubre, VMware solucionó una vulnerabilidad crítica de ejecución remota de código en su vCenter Server (CVE-2023-34048) y productos empresariales Cloud Foundation que se utilizan para administrar máquinas virtuales en nubes híbridas. Ahora ha salido a la luz que un grupo de ciberespionaje chino había estado explotando la vulnerabilidad durante un año y medio antes de que el parche estuviera disponible.
«Estos hallazgos surgen de la investigación continua de Mandiant sobre las nuevas rutas de ataque utilizadas por UNC3886, que históricamente se centra en tecnologías que no pueden implementar EDR», dijeron investigadores de la firma de seguridad Mandiant en un informe a finales de la semana pasada. «UNC3886 tiene un historial de utilización de vulnerabilidades de día cero para completar su misión sin ser detectado, y este último ejemplo demuestra aún más sus capacidades».
Las entradas sospechosas del registro de VMware se remontan a 2021
En junio de 2023, Mandiant documentado cómo el grupo chino al que rastrea como UNC3886 aprovechó una vulnerabilidad de omisión de autenticación de día cero en VMware Tools (CVE-2023-20867) a implementar puertas traseras dentro de las máquinas virtuales invitadas desde hosts ESXi comprometidos. Ese flujo de ataque descrito por Mandiant comenzó cuando los piratas informáticos primero obtuvieron acceso a los servidores vCenter y luego utilizaron técnicas conocidas para extraer credenciales de texto sin cifrar para la cuenta vpxuser de todos los hosts ESXi conectados al servidor. Esto les permitió acceder a esos hosts y explotar CVE-2023-20867 para implementar malware.
Sin embargo, la contraseña de vpxuser (una cuenta creada automáticamente en los hosts ESXi cuando se asocia con un servidor vCenter) está cifrada de forma predeterminada. En un sistema vCenter completamente parcheado, descifrar las contraseñas requiere acceso de root. Entonces, ¿cómo consiguieron los atacantes acceso root a los servidores vCenter en primer lugar? Explotando la vulnerabilidad CVE-2023-34048 que luego fue parcheada en octubre de 2023.
Los analistas forenses de Mandiant encontraron algo en común en los sistemas vCenter comprometidos donde los registros de fallas ubicados en /var/log/vMonCoredumper.log mostraban que el servicio «vmdird» fallaba minutos antes de que los atacantes implementaran su malware. Después de compartir esta observación con el equipo de seguridad de productos de VMware junto con los volcados de memoria del proceso vmdird bloqueado, se llegó a la conclusión de que los bloqueos están estrechamente alineados con el comportamiento observado durante la explotación de CVE-2023-34048.
La falla CVE-2023-34048 es una escritura fuera de límites en la implementación del protocolo DCERPC que provoca un bloqueo y la ejecución de código arbitrario. La falla se puede explotar de forma remota a través de la red.