VirtualGate

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

VirtualGate

Cookies Settings