Grupo de espionagem ligado à exploração de falhas de segurança em dispositivos VMware e Fortinet foi associado ao abuso de uma vulnerabilidade crítica “Zero Day” no VMware vCenter Server desde o final de 2021.
"UNC3886 tem histórico de utilizar vulnerabilidades “Zero Day” para completar sua missão sem ser detectado, e este último exemplo demonstra ainda mais suas capacidades", disse a Mandiant (Google) em um relatório de sexta-feira.
A vulnerabilidade em questão é CVE-2023-34048 (pontuação CVSS: 9,8), uma out-of-bounds write que pode ser usada por hackers com acesso de rede ao vCenter Server. Este “Zero Day” foi corrigido pela Broadcom em 24 de outubro de 2023. O provedor de serviços de virtualização, no início desta semana, atualizou seu comunicado para reconhecer que "a exploração do CVE-2023-34048” sem controle.
UNC3886 veio à tona pela primeira vez em setembro de 2022, quando foi descoberto que aproveitava falhas de segurança anteriormente desconhecidas no VMware para sistemas Windows e Linux backdoor, implantando famílias de malware como VIRTUALPITA e VIRTUALPIE.
As descobertas mais recentes da Mandiant mostram Hackers usavam o “Zero Day” CVE-2023-34048, permitindo que eles obtivessem acesso privilegiado ao vCenter e enumerasse todos os hosts ESXi e suas respectivas máquinas virtuais atachadas ao vCenter. Na sequência, conseguiam recuperar as credenciais não criptografadas do "vpxuser" dos hosts e então conectavam a eles para instalar VIRTUALPITA e VIRTUALPIE, assim permitindo hackers se conectar diretamente aos hosts.
Isso, fez com que explorassem outra falha (CVE-2023-20867) para executar comandos e transferir arquivos de e/ou para o VM ESXi comprometido, conforme revelado pela Mandiant em junho de 2023. Recomenda-se que os usuários do VMware vCenter Server atualizem para a versão mais recente para mitigar quaisquer ameaças potenciais.
Nos últimos anos, UNC3886 também aproveitou o CVE-2022-41328, falha no Fortinet FortiOS para implantar THINCRUST e CASTLETAP e executar comandos de um servidor remoto e exfiltrar dados confidenciais.
Esses ataques destacam a necessidade real de soluções avançadas de cibersegurança e como soluções tradicionais estão vulneráveis.