VMware ha rilasciato oggi una patch per una vulnerabilità zero-day di VMware ESXi. Questa vulnerabilità è stata sfruttata da un gruppo di hacker per inserire alcune backdoor nelle macchine virtuali Windows e Linux e sottrarre in questo modo dati e informazioni critiche aziendali.
Gli autori di questa operazione sono un gruppo di cybercriminali cinesi, abbastanza noto, chiamato UNC3886. Si tratta di un gruppo di hacker dediti allo spionaggio e hanno un particolare interesse verso la tecnologia usata nei settori della difesa, istituzioni, telecomunicazioni utilizzata negli Stati Uniti, Asia e Pacifico. Il loro punto di ingresso preferito sono le vulnerabilità zero-day nelle piattaforme di firewalling e di virtualizzazione, che non hanno di capacità di rilevamento e risposta sugli endpoint (EDR).
Oggi è stato reso noto un attacco portato a termine in grado di sfruttare la falla di autenticazione di VMware Tools CVE-2023-20867. Cosa hanno fatto? Hanno aperto delle backdoor chiamate VirtualPita e VirtualPie nelle macchine virtuali guest attraverso l’uso di un host ESXi compromesso, in grado di motificare i privilegi di amminstrazione.
VMware ha dichiarato questa mattina nella sua advisory di sicurezza che: “Un Host ESXi compromesso è in grado di forzare VMware Tools e di far fallire i controlli di host-to-guest, compromettendo irrimediabilmente la sicurezza della guest virtual machine”.
Gli attaccanti hanno installato il malware backdoor utilizzando una versione creata appositamente di vSphere Installation Bundles (VIB), progettata per aiutare gli amministratori a creare e mantenere immagini ESXi.
Ovviamente in questa storia non manca nemmeno la terza variante di malware, si chiama VirtualGate ed agisce come memory dropper e come de-offuscatore di payload DLL di secondo stadio nelle VM compromesse.
“Questo canale di comunicazione aperto tra guest e host, in cui entrambi i ruoli possono agire come client o server, ha permesso un nuovo metodo di persistenza per riacquisire l’accesso a un host ESXi backdoored fintanto che viene distribuito un backdoor e l’attaccante acquisisce l’accesso iniziale a qualsiasi macchina virtuale ospite”, ha affermato l’azienda Mandiant che ha scoperto la falla .
“Questo [..] rafforza ulteriormente la profonda comprensione e conoscenza tecnica di UNC3886 su ESXi, vCenter e la piattaforma di virtualizzazione di VMware. UNC3886 continua a mirare a dispositivi e piattaforme che tradizionalmente non dispongono di soluzioni EDR e sfrutta le vulnerabilità zero-day su tali piattaforme.”
L’azienda di cybersecurity Mandiant, sempre vigile su questi temi, ha rivelato che gli stessi hacker del gruppo UNC3886 lo scorso marzo avevano sfruttato un’altra vulnerabilità zero-day (CVE-2022-41328), e che già a metà del 2022 avevano compromesso i firewall FortiGate distribuendo backdoor chiamate Castletap e Thincrust, ovviamente sconosciute.
In questo caso ottenuto l’accesso ai dispositivi Fortinet sfruttavano il vantaggio sul FortiManager e FortiAnalyzer, muovendosi indisturbati nella rete delle loro vittime. Una volta arrivati alla console inserite le backdoor nelle macchine ESXi e vCenter utilizzando malware chiamati VirtualPita e VirtualPie riuscivano a garantirsi che le loro attività rimanessero ben nascoste.
L’attacco non è stato casuale – ha tuonato Fortinet – ma di precisione, volto a raggiungere obiettivi governativi sensibili e aziendali, anche se il loro scopo principale è trovare informazioni di tipo governativo.
Sicuramente alla base di un attacco del genere c’è una profonda conoscenza di FortiOS e dell’hardware che c’è dietro. Questo gruppo di hacker cinesi ha capacità avanzate, e investe molto tempo nel reverse engineering s.
Charles Carmakal, il CTO di Mandiant, ha dichiarato recentemente a BleepingComputer che si tratterebbe di spionaggio cinese, attività che la Cina porta avanti da anni. Queste sono operazioni particolarmente difficili da rilevare – Infatti Charles Carmakal pensa che ci siano diversi governi che non si sono ancora accorti di essere spiati sfruttando queste backdoor.
Il consiglio del sistemista:
Per la vulnerabilità segnalata oggi è necessario fare un aggiornamento di VMware tools su ogni piattaforma con versione 12.x.x, 11.x.x, 10.3.x alla versinoe 12.2.5
In generale però è bene mantenere i sistemi sempre aggiornati e con strumenti che consentono la corretta gestione dei privilegi di amministratore come BeyondTrust aiutano a rendere difficila la vita a chi ha cattive intenzioni.
Fonti:
https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/
https://www.vmware.com/security/advisories/VMSA-2023-0013.html
https://www.bleepingcomputer.com/news/security/fortinet-zero-day-attacks-linked-to-suspected-chinese-hackers
👇Se hai bisogno di supporto compila il modulo di contatto, sarò felice di aiutarti. 👇
Sicurezza informatica
BeyondTrust: tantissime novità sul Privilege Management nel 2024!
