Mandiant en VMware dichten zerodaylek in vCenter Server
Mandiant en VMware dichten een zeroday-lek in vCenter Server. Zoals vermeld in het VMware- advies is deze kwetsbaarheid inmiddels gepatcht in vCenter 8.0U2 en Mandiant raadt VMware-gebruikers aan om bij te werken naar de nieuwste versie van vCenter om rekening te houden met deze kwetsbaarheid als ze misbruik in het wild zien.
Mandiant meldt: 'Hoewel in oktober 2023 publiekelijk gerapporteerd en gepatcht, hebben Mandiant en VMware Product Security ontdekt dat UNC3886 , een zeer geavanceerde spionagegroep met een Chinese nexus, CVE-2023-34048 al eind 2021 exploiteert .
Deze bevindingen komen voort uit het voortdurende onderzoek van Mandiant naar de nieuwe aanvalspaden die worden gebruikt door UNC3886 , dat zich historisch gezien richt op technologieën waarvoor EDR niet kan worden ingezet. UNC3886 heeft een trackrecord in het gebruik van zero-day-kwetsbaarheden om hun missie te voltooien zonder ontdekt te worden, en dit nieuwste voorbeeld demonstreert hun capaciteiten verder.
Bij het behandelen van de ontdekking van CVE-2023-20867 in de tools van VMware werd het aanvalspad in Figuur 1 gepresenteerd, waarin de stroom van aanvalleractiviteit binnen het VMware-ecosysteem (dat wil zeggen vCenter, ESXi Hypervisors, gevirtualiseerde gastmachines) wordt beschreven. Op basis van het beschikbare bewijsmateriaal bleef Mandiant destijds onderzoeken hoe backdoors werden ingezet in vCenter-systemen.
Eind 2023 werd een gelijkenis waargenomen tussen de getroffen vCenter-systemen, die verklaarde hoe de aanvaller initiële toegang kreeg tot de vCenter-systemen. In de crashlogboeken van de VMware-service, /var/log/vMonCoredumper.log, tonen de volgende vermeldingen (Afbeelding 2) dat de "vmdird"-service crasht minuten voordat de backdoors van de aanvaller worden ingezet.
2022-01-01T01:31:55.361+00:00| <REDACTIE>| I125: BESTAND: FileCreateDirectoryEx: Kan /tmp niet maken. Fout = 17 2022-01-01T01:31:55.362+00:00| <REDACTIE>| I125: BESTAND: FileCreateDirectoryEx: Kan /tmp/vmware-root niet maken. Fout = 17 2022-01-01T01:31:55.419+00:00| <REDACTIE>| I125: vMon op de hoogte stellen van vmdird-dumpkern. Pid: 1558 2022-01-01T01:31:55.421+00:00| <REDACTIE>| I125: VMon met succes gemeld. 2022-01-01T01:31:55.927+00:00| <REDACTIE>| I125: Kernbestand gegenereerd. |
Analyse van de core dump van "vmdird" door zowel Mandiant als VMware Product Security toonde aan dat het vastlopen van het proces nauw aansluit bij de exploitatie van CVE-2023-34048 , de out-of-bounds write vCenter-kwetsbaarheid in de implementatie van de DCE/ RPC-protocol gepatcht in oktober 2023, waardoor niet-geverifieerde uitvoering van externe opdrachten op kwetsbare systemen mogelijk is.
Hoewel het in oktober 2023 publiekelijk werd gerapporteerd en gepatcht, heeft Mandiant deze crashes waargenomen in meerdere UNC3886-gevallen tussen eind 2021 en begin 2022, waardoor er een periode van ongeveer anderhalf jaar overblijft waarin deze aanvaller toegang had tot dit beveiligingslek. In de meeste omgevingen waar deze crashes werden waargenomen, bleven de loggegevens bewaard, maar de "vmdird"-kerndumps zelf werden verwijderd. De standaardconfiguraties van VMware houden core-dumps voor onbepaalde tijd op het systeem, wat erop wijst dat de core-dumps met opzet door de aanvaller zijn verwijderd in een poging hun sporen uit te wissen.
Zoals vermeld in het VMware- advies is deze kwetsbaarheid inmiddels gepatcht in vCenter 8.0U2 en Mandiant raadt VMware-gebruikers aan om bij te werken naar de nieuwste versie van vCenter om rekening te houden met deze kwetsbaarheid als ze misbruik in het wild zien.'
Dutch IT events
Alle events
