Un groupe de piratage chinois exploite une vulnérabilité critique de vCenter Server (CVE-2023-34048) en tant que jour zéro depuis au moins la fin de 2021.

La faille a été corrigée en octobre, VMware confirmant ce mercredi qu’il était au courant de l’exploitation sauvage de CVE-2023-34048, bien qu’il n’ait partagé aucun autre détail sur les attaques.

Cependant, comme l’a révélé aujourd’hui la société de sécurité Mandiant, la vulnérabilité a été utilisée par le groupe de cyberespionnage chinois UNC3886 dans le cadre d’une campagne précédemment signalée, exposée en juin 2023.

Les cyberespions l’ont utilisé pour violer les serveurs vCenter de leurs cibles et compromettre les informations d’identification pour déployer des portes dérobées VirtualPita et VirtualPie sur des hôtes ESXi via des ensembles d’installation vSphere (VIB) conçus de manière malveillante.

Dans l’étape suivante, ils ont exploité la faille de contournement d’authentification VMware Tools CVE-2023-20867 pour augmenter les privilèges, récupérer des fichiers et les exfiltrer des machines virtuelles invitées.

Alors que, jusqu’à présent, Mandiant ne savait pas comment les attaquants avaient obtenu un accès privilégié aux serveurs vCenter des victimes, le lien a été mis en évidence fin 2023 par un plantage du service VMware vmdird quelques minutes avant le déploiement des portes dérobées correspondant étroitement à l’exploitation CVE-2023-34048.

UNC3886 chaîne d’attaque

« Bien que publiquement signalé et corrigé en octobre 2023, Mandiant a observé ces plantages dans plusieurs cas UNC3886 entre fin 2021 et début 2022, laissant une fenêtre d’environ un an et demi que cet attaquant avait accès à cette vulnérabilité », a déclaré Mandiant vendredi.

« La plupart des environnements où ces plantages ont été observés avaient des entrées de journal préservées, mais les vidages de mémoire « vmdird » eux-mêmes ont été supprimés.

« Les configurations par défaut de VMware conservent les vidages de mémoire pendant une durée indéfinie sur le système, ce qui suggère que les vidages de mémoire ont été délibérément supprimés par l’attaquant pour tenter de couvrir leurs traces. »

UNC3886 est connu pour se concentrer sur les organisations des secteurs de la défense, du gouvernement, des télécommunications et de la technologie aux États-Unis et dans la région APJ.

Les cibles préférées des cyberespions chinois sont les failles de sécurité zero-day dans les plates-formes de pare-feu et de virtualisation qui ne disposent pas de capacités de détection et de réponse des terminaux (EDR) qui faciliteraient la détection et le blocage de leurs attaques.

​En mars, Mandiant a révélé qu’ils avaient également abusé d’un Fortinet zero-day (CVE-2022-41328) dans la même campagne pour compromettre les dispositifs de pare-feu FortiGate et installer des portes dérobées Castletap et Thincrust jusque-là inconnues.

« L’attaque est très ciblée, avec quelques indices de cibles gouvernementales ou liées au gouvernement préférées », a déclaré Fortinet à l’époque.

« L’exploit nécessite une compréhension approfondie de FortiOS et du matériel sous-jacent. Les implants personnalisés montrent que l’acteur a des capacités avancées, y compris la rétro-ingénierie de diverses parties de FortiOS. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *