Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm

www.tuoitre.vn -   22/01/2024 08:00:00 102

Một nhóm gián điệp mạng tiên tiến của Trung Quốc-nexus trước đây có liên quan đến việc khai thác các lỗ hổng bảo mật trong các thiết bị VMware và Fortinet đã bị cho là lạm dụng lỗ hổng nghiêm trọng trong VMware vCenter Server kể từ cuối năm 2021.

Tin tặc Trung Quốc âm thầm vũ khí hóa lỗ hổng Zero-Day của VMware trong 2 năm

“UNC3886 có hồ sơ theo dõi về việc sử dụng các lỗ hổng zero-day để hoàn thành nhiệm vụ của mình mà không bị phát hiện và ví dụ mới nhất này càng chứng tỏ khả năng của họ”, Mandiant thuộc sở hữu của Google cho biết trong một báo cáo hôm thứ Sáu.

Lỗ hổng được đề cập là CVE-2023-34048 (điểm CVSS: 9,8), một lỗ hổng ghi ngoài giới hạn có thể bị kẻ độc hại có quyền truy cập mạng vào vCenter Server sử dụng để thực thi mã từ xa. Sự cố này đã được công ty thuộc sở hữu của Broadcom khắc phục vào ngày 24 tháng 10 năm 2023.

Nhà cung cấp dịch vụ ảo hóa, vào đầu tuần này, đã cập nhật lời khuyên của mình để thừa nhận rằng “việc khai thác CVE-2023-34048 đã xảy ra một cách tự nhiên”.

UNC3886 lần đầu tiên được đưa ra ánh sáng vào tháng 9 năm 2022 khi người ta phát hiện ra nó lợi dụng các lỗ hổng bảo mật chưa từng được biết trước đây trong VMware để chạy backdoor các hệ thống Windows và Linux, triển khai các dòng phần mềm độc hại như VIRTUALPITA và VIRTUALPIE.

Những phát hiện mới nhất từ Mandiant cho thấy rằng lỗ hổng zero-day được kẻ tấn công quốc gia nhắm vào VMware sử dụng không ai khác chính là CVE-2023-34048, cho phép nó có được quyền truy cập đặc quyền vào hệ thống vCenter và liệt kê tất cả các máy chủ ESXi và khách tương ứng của chúng. máy ảo gắn liền với hệ thống.

Giai đoạn tiếp theo của cuộc tấn công liên quan đến việc truy xuất thông tin xác thực "vpxuser" dạng văn bản rõ ràng cho máy chủ và kết nối với chúng để cài đặt phần mềm độc hại VIRTUALPITA và VIRTUALPIE, từ đó cho phép kẻ thù kết nối trực tiếp với máy chủ.

Điều này cuối cùng mở đường cho việc khai thác một lỗ hổng khác của VMware, (CVE-2023-20867, điểm CVSS: 3.9), để thực thi các lệnh tùy ý và truyền tệp đến và từ các máy ảo khách từ máy chủ ESXi bị xâm nhập, như Mandiant tiết lộ vào tháng 6 năm 2023.

Người dùng VMware vCenter Server được khuyến nghị cập nhật lên phiên bản mới nhất để giảm thiểu mọi mối đe dọa tiềm ẩn.

Trong những năm gần đây, UNC3886 cũng đã lợi dụng CVE-2022-41328 (điểm CVSS: 6,5), một lỗ hổng truyền tải đường dẫn trong phần mềm Fortinet FortiOS, để triển khai bộ cấy THINCRUST và CASTLETAP nhằm thực thi các lệnh tùy ý nhận được từ máy chủ từ xa và lấy cắp dữ liệu nhạy cảm. .

Các cuộc tấn công này đặc biệt nhắm vào các công nghệ tường lửa và ảo hóa do chúng thiếu hỗ trợ cho các giải pháp phát hiện và phản hồi điểm cuối (EDR) để tồn tại trong môi trường mục tiêu trong thời gian dài.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 165
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 91
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 238
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 229
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 277
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 144
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

LIÊN HỆ

Thông tin liên hệ