Scritto da Redazione Serverlab
Condividi su
VMware ha rilasciato oggi una patch per una vulnerabilità zero-day di VMware ESXi. Questa vulnerabilità è stata sfruttata da un gruppo di hacker per inserire alcune backdoor nelle macchine virtuali Windows e Linux e sottrarre in questo modo dati e informazioni critiche aziendali.
Gli autori di questa operazione sono un gruppo di cybercriminali cinesi, abbastanza noto, chiamato UNC3886. Si tratta di un gruppo di hacker dediti allo spionaggio e hanno un particolare interesse verso la tecnologia usata nei settori della difesa, istituzioni, telecomunicazioni utilizzata negli Stati Uniti, Asia e Pacifico. Il loro punto di ingresso preferito sono le vulnerabilità zero-day nelle piattaforme di firewalling e di virtualizzazione, che non hanno di capacità di rilevamento e risposta sugli endpoint (EDR).
Oggi è stato reso noto un attacco portato a termine in grado di sfruttare la falla di autenticazione di VMware Tools CVE-2023-20867. Cosa hanno fatto? Hanno aperto delle backdoor chiamate VirtualPita e VirtualPie nelle macchine virtuali guest attraverso l’uso di un host ESXi compromesso, in grado di motificare i privilegi di amminstrazione.
VMware ha dichiarato questa mattina nella sua advisory di sicurezza che: “Un Host ESXi compromesso è in grado di forzare VMware Tools e di far fallire i controlli di host-to-guest, compromettendo irrimediabilmente la sicurezza della guest virtual machine”.
Gli attaccanti hanno installato il malware backdoor utilizzando una versione creata appositamente di vSphere Installation Bundles (VIB), progettata per aiutare gli amministratori a creare e mantenere immagini ESXi.
Ovviamente in questa storia non manca nemmeno la terza variante di malware, si chiama VirtualGate ed agisce come memory dropper e come de-offuscatore di payload DLL di secondo stadio nelle VM compromesse.
“Questo canale di comunicazione aperto tra guest e host, in cui entrambi i ruoli possono agire come client o server, ha permesso un nuovo metodo di persistenza per riacquisire l’accesso a un host ESXi backdoored fintanto che viene distribuito un backdoor e l’attaccante acquisisce l’accesso iniziale a qualsiasi macchina virtuale ospite”, ha affermato l’azienda Mandiant che ha scoperto la falla .
“Questo [..] rafforza ulteriormente la profonda comprensione e conoscenza tecnica di UNC3886 su ESXi, vCenter e la piattaforma di virtualizzazione di VMware. UNC3886 continua a mirare a dispositivi e piattaforme che tradizionalmente non dispongono di soluzioni EDR e sfrutta le vulnerabilità zero-day su tali piattaforme.”
L’azienda di cybersecurity Mandiant, sempre vigile su questi temi, ha rivelato che gli stessi hacker del gruppo UNC3886 lo scorso marzo avevano sfruttato un’altra vulnerabilità zero-day (CVE-2022-41328), e che già a metà del 2022 avevano compromesso i firewall FortiGate distribuendo backdoor chiamate Castletap e Thincrust, ovviamente sconosciute.
In questo caso ottenuto l’accesso ai dispositivi Fortinet sfruttavano il vantaggio sul FortiManager e FortiAnalyzer, muovendosi indisturbati nella rete delle loro vittime. Una volta arrivati alla console inserite le backdoor nelle macchine ESXi e vCenter utilizzando malware chiamati VirtualPita e VirtualPie riuscivano a garantirsi che le loro attività rimanessero ben nascoste.
L’attacco non è stato casuale – ha tuonato Fortinet – ma di precisione, volto a raggiungere obiettivi governativi sensibili e aziendali, anche se il loro scopo principale è trovare informazioni di tipo governativo.
Sicuramente alla base di un attacco del genere c’è una profonda conoscenza di FortiOS e dell’hardware che c’è dietro. Questo gruppo di hacker cinesi ha capacità avanzate, e investe molto tempo nel reverse engineering s.
Charles Carmakal, il CTO di Mandiant, ha dichiarato recentemente a BleepingComputer che si tratterebbe di spionaggio cinese, attività che la Cina porta avanti da anni. Queste sono operazioni particolarmente difficili da rilevare – Infatti Charles Carmakal pensa che ci siano diversi governi che non si sono ancora accorti di essere spiati sfruttando queste backdoor.
Il consiglio del sistemista:
Per la vulnerabilità segnalata oggi è necessario fare un aggiornamento di VMware tools su ogni piattaforma con versione 12.x.x, 11.x.x, 10.3.x alla versinoe 12.2.5
In generale però è bene mantenere i sistemi sempre aggiornati e con strumenti che consentono la corretta gestione dei privilegi di amministratore come BeyondTrust aiutano a rendere difficila la vita a chi ha cattive intenzioni.
Fonti:
https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/
https://www.vmware.com/security/advisories/VMSA-2023-0013.html
https://www.bleepingcomputer.com/news/security/fortinet-zero-day-attacks-linked-to-suspected-chinese-hackers
Se hai bisogno di supporto compila il modulo di contatto, sarò felice di aiutarti.
Ottimizza l’efficienza del tuo lavoro e risparmia sui costi di gestione IT
Come proteggere davvero i dati aziendali sui telefoni. In questa news ti mostriamo un esempio pratico di come funziona e di come si attiva il Duress Pin.
03/07/2025
È inutile investire migliaia di euro in sicurezza informatica se poi lo smartphone del CEO resta il punto debole. In questa news scoprirai perché chi tiene davvero alla privacy sceglie GrapheneOS.
15/06/2025
Per mantenere la rete aziendale in una condizione di sicurezza stabile, non basta intervenire solo quando c'è un problema: serve un approccio programmato e costante. In questa news ti raccontiamo un caso pratico.
03/06/2025
Ti Fidi di Google?Le truffe phishing 2025 che arrivano da Email "Firmate" Google grazie a Sites e DKIM
22/05/2025
