Η Mware επιδιορθώνει σήμερα μια ευπάθεια VMware ESXi zero-day . Αυτή η ευπάθεια ήταν αιτία επίθεσης που ξεκίνησε μια κινεζική ομάδα hacker σε εικονικές μηχανές Windows και Linux για να κλέψει δεδομένα.
Η ομάδα hacker στον κυβερνοχώρο έκανε κατάχρηση το σφάλμα CVE-2023-20867 παράκαμψης ελέγχου ταυτότητας VMware Tools. Στην συνέχεια, αναπτύξε τις κερκόπορτες VirtualPita και VirtualPie σε Guest VM από παραβιασμένους κεντρικούς υπολογιστές ESXi.
“Ένας πλήρως παραβιασμένος κεντρικός υπολογιστής ESXi μπορεί να αναγκάσει το VMware Tools να αποτύχει στον έλεγχο ταυτότητας των λειτουργιών κεντρικού υπολογιστή σε επισκέπτη. Έτσι επηρεάζει την εμπιστευτικότητα και την ακεραιότητα της εικονικής μηχανής επισκέπτη”, ανέφερε η VMware στη σημερινή συμβουλευτική για την ασφάλεια.
Οι εισβολείς εγκατέστησαν το κακόβουλο λογισμικό backdoor χρησιμοποιώντας κακόβουλα πακέτα εγκατάστασης vSphere (VIBs). Αυτά τα πακέτα είναι σχεδιασμένα να βοηθούν τους διαχειριστές να δημιουργούν και να διατηρούν εικόνες ESXi.
Ένα τρίτο είδος κακόβουλου λογισμικού (VirtualGate) εντόπισε η Mandiant . Αυτό απέκοψε τα ωφέλιμα φορτία DLL δεύτερου σταδίου στα εικονικά μηχανήματα που είχαν παραβιαστεί.
“Αυτό το ανοιχτό κανάλι επικοινωνίας μεταξύ επισκέπτη και οικοδεσπότη, όπου οποιοσδήποτε από τους ρόλους μπορεί να λειτουργήσει ως πελάτης ή διακομιστής, επέτρεψε ένα νέο μέσο επιμονής για την ανάκτηση πρόσβασης σε έναν κλειστό κεντρικό υπολογιστή ESXi, εφόσον αναπτυχθεί μια κερκόπορτα και ο εισβολέας αποκτά αρχική πρόσβαση σε οποιοδήποτε επισκέπτης»είπε ο Mandiant.