VMware-zerodaylek al sinds eind 2021 geëxploiteerd

VMware-zerodaylek al sinds eind 2021 geëxploiteerd

Een Chinese hackersgroep heeft een zerodaylek in vCenter Server al sinds tenminste eind 2021 geëxploiteerd. De hackers wisten door de kwetsbaarheid backdoors in te zetten op ESXi-hosts en data te stelen van organisaties in kritieke sectoren.

Mandiant heeft onthuld dat de dader achter de cybercampagne UNC3886 is, een Chinese spionagegroep. De aanvallers werden al in juni 2023 geïdentificeerd door Mandiant, maar nu is duidelijk dat deze groep al langer actief is.

Blinde vlek voor EDR

UNC3886 richt zich volgens Mandiant vooral op technologieën waar EDR-tools niet voor ingezet kunnen worden. Het beschermen van hypervisors zoals ESXi is complexer dan endpoint-protectie. Volgens VMware is antivirus-software niet nodig voor deze infrastructuur. Normaliter dient een firewall ervoor te zorgen dat kwaadwillenden niet via ESXi kunnen infiltreren. Echter haalde CrowdStrike in mei 2023 aan dat deze hypervisor “erg aantrekkelijk” is voor cybercriminelen. Slechte “security-hygiëne” zou bij talloze organisaties leiden tot oude instances en ongepatchte producten.

vCenter Server en ESXi vormen samen vSphere. Kwetsbaarheden in beide componenten hebben bijgedragen aan de infiltratiemethode van de Chinese hackers. Eerder wist Mandiant niet dat de aanvallers geprivilegieerde toegang tot vCenter-servers hadden verkregen.

Aanvalsmethode

De hackers wisten eerst CVE-2023-34048 te exploiteren. Door een fout in vCenter Server kan een kwaadwillende met netwerktoegang een out-of-bounds write uitvoeren met remote code execution tot gevolg.

Allereerst exploiteerden de aanvallers CVE-2023-34048 om een backdoor naar vCenter System te creëren. Daarbij maakte men gebruik van gemanipuleerde vSphere Installation Bundles, die bedoeld zijn om custom ESXi-images te maken. Vervolgens werden credentials gestolen, alle ESXi-hosts geïdentificeerd en verbinding gemaakt met gecompromitteerde hosts.

Backdoors onder de namen ‘VirtualPita’ en ‘VirtualPie’ maakten persistent access vervolgens mogelijk. De directe verbinding die daarop volgde, bracht de hackers in stelling om CVE-2023-20867 te exploiteren. Hoewel deze kwetsbaarheid een relatief milde CVE-score heeft (3,9), is er binnen deze context een aanzienlijk gevaar. Ongeauthenticeerde command execution en filetransfer maakten datalekken mogelijk.

Tip: Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?

Kritieke doelwitten

De doelwitten van UNC3886 zijn doorgaans Amerikaanse en Oost-Aziatische bedrijven in de technologie-, telco- en defensiesectoren, naast overheidsdiensten. De Chinese hackers slaagden er meermaals in om bewijs van infiltratie in datalogs te wissen, waardoor detectie enorm lastig te bevestigen is. Tevens is niet bekend welke gegevens de groep in de afgelopen jaren heeft buitgemaakt.

De relevante kwetsbaarheden zijn inmiddels gepatcht (sinds vCenter 8.0U2). Mandiant raadt organisaties aan om te updaten naar de meest recente versie om exploitaties te voorkomen.

Lees ook: VMware stopt met perpetual, enkel nog licenties in abonnementsvorm