Çinli Bilgisayar Korsanları, VMware Sıfır Gün Kusurunu 2 Yıl Boyunca Sessizce Silahlandırdı

Google'ın sahibi olduğu Mandiant, Cuma günü yayınladığı bir raporda, "UNC3886, görevlerini tespit edilmeden tamamlamak için sıfır gün güvenlik açıklarını kullanma konusunda bir geçmişe sahip ve bu son örnek, yeteneklerini daha da gösteriyor" dedi.

Söz konusu güvenlik açığı CVE-2023-34048'dir (CVSS puanı: 9.8), uzaktan kod yürütmeyi gerçekleştirmek için vCenter Server'a ağ erişimi olan kötü amaçlı bir aktör tarafından kullanılabilecek sınır dışı bir yazmadır. Broadcom'a ait şirket tarafından 24 Ekim 2023'te düzeltildi.

Sanallaştırma hizmetleri sağlayıcısı, bu haftanın başlarında, "CVE-2023-34048'in kötüye kullanılmasının vahşi doğada meydana geldiğini" kabul etmek için tavsiyesini güncelledi.

UNC3886 ilk olarak Eylül 2022'de, VMware'deki önceden bilinmeyen güvenlik açıklarından yararlanarak Windows ve Linux sistemlerini arka kapı oluşturmak ve VIRTUALPITA ve VIRTUALPIE gibi kötü amaçlı yazılım ailelerini dağıtmak için kullanıldığı tespit edildiğinde ortaya çıktı.

Mandiant'ın en son bulguları, VMware'i hedef alan ulus devlet aktörü tarafından silahlandırılan sıfır gününün CVE-2023-34048'den başkası olmadığını ve vCenter sistemine ayrıcalıklı erişim elde etmesine ve sisteme bağlı tüm ESXi ana bilgisayarlarını ve ilgili konuk sanal makinelerini numaralandırmasına olanak tanıdığını gösteriyor.

Saldırının bir sonraki aşaması, ana bilgisayarlar için açık metin "vpxuser" kimlik bilgilerini almayı ve VIRTUALPITA ve VIRTUALPIE kötü amaçlı yazılımını yüklemek için bunlara bağlanmayı ve böylece düşmanın doğrudan ana bilgisayarlara bağlanmasını sağlamayı içerir.

Bu, sonuçta, Mandiant tarafından Haziran 2023'te açıklandığı gibi, güvenliği ihlal edilmiş bir ESXi ana bilgisayarından rastgele komutlar yürütmek ve konuk VM'lere dosya aktarmak için başka bir VMware kusurundan (CVE-2023-20867, CVSS puanı: 3.9) yararlanılmasını sağlar.

VMware vCenter Server kullanıcılarının olası tehditleri azaltmak için en son sürüme güncelleştirmeleri önerilir.

Son yıllarda UNC3886, uzak bir sunucudan alınan rastgele komutları yürütmek ve hassas verileri sızdırmak için THINCRUST ve CASTLETAP implantlarını dağıtmak için Fortinet FortiOS yazılımındaki bir yol geçiş kusuru olan CVE-2022-41328'den (CVSS puanı: 6.5) de yararlandı.

Bu saldırılar, hedef ortamlarda uzun süre devam etmek için uç nokta algılama ve yanıt (EDR) çözümlerini desteklememeleri nedeniyle özellikle güvenlik duvarı ve sanallaştırma teknolojilerini öne çıkarır.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği