Grupo hacker chino utiliza una vulnerabilidad de día cero de Vmware ESXi para instalar puertas traseras en las máquinas virtuales
AS-038-2023
Fecha: 14/06/2023
Resumen:
VMware presentó un parche para una vulnerabilidad zero-day de VMware ESXi que fue aprovechada por un grupo de hackers chinos para instalar puertas traseras en máquinas virtuales de Windows y Linux y robar datos. El grupo de espionaje cibernético, conocido como UNC3886 y descubierto por la firma de ciberseguridad Mandiant, utilizó una falla de autenticación de VMware Tools (CVE-2023-20867) para desplegar las puertas traseras VirtualPita y VirtualPie en las máquinas virtuales de los invitados desde los hosts ESXi comprometidos, donde obtuvieron privilegios de root.
Un host ESXi completamente comprometido puede hacer que VMware Tools falle en la autenticación de operaciones entre el host y la máquina virtual, lo que afecta la confidencialidad e integridad de la máquina virtual, según indicó VMware en el aviso de seguridad.
Los atacantes instalaron el malware de puerta trasera utilizando paquetes maliciosos de vSphere Installation Bundles (VIBs), diseñados para ayudar a los administradores a crear y mantener imágenes de ESXi. En la siguiente etapa, introdujeron puertas traseras en las máquinas ESXi y vCenter mediante los malwares VirtualPita y VirtualPie para asegurarse de que sus actividades maliciosas pasaran desapercibidas.
Este grupo de ciberespionaje se dedica a aprovechar vulnerabilidades zero-day en plataformas de firewall y virtualización que no cuentan con capacidades de Detección y Respuesta de Endpoints (EDR). Han logrado comprometer exitosamente organizaciones de defensa, tecnología y telecomunicaciones con programas de seguridad avanzados.
Se recomienda aplicar los parches correspondientes liberados por el fabricante, y aislar las redes de gestión de los hipervisores.
Referencias:
https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass
https://www.vmware.com/security/advisories/VMSA-2023-0013.html
