Se descubrió que el grupo de ciberdelincuentes patrocinado por el estado Chino y conocidos como UNC3886, están llevando a cabo ataques activos, utilizando una vulnerabilidad en los hosts de VMware ESXi. El objetivo de estos ataques es infiltrar «Backdoors» en sistemas operativos Windows y Linux.
Identificada como CVE-2023-20867 (CVSS: 3.9): Esta vulnerabilidad de autenticación en VMware Tools, permite la ejecución de comandos privilegiados en sistemas operativos Windows, Linux y PhotonOS (vCenter) sin necesidad de autenticación de credenciales en los sistemas operativos invitados.
El objetivo de esta vulnerabilidad es comprometer un host ESXi sin registro predeterminado en los sistemas operativos invitados. Un host ESXi completamente comprometido puede obligar a VMware Tools a no autenticar las operaciones de host a invitado, lo que afecta la confidencialidad y la integridad de la máquina virtual invitada.
El grupo UNC3886 fue detectado por la empresa de ciberseguridad Mandiant a finales de 2022. Su modus operandi implica la infección de servidores de VMware ESXi y vCenter mediante «Backdoors» denominados VIRTUALPITA y VIRTUALPIE.
Productos y Versiones afectadas.
- VMware Tools en versiones 12.xx, 11.xx, 10.3.x.
Solución y Recomendacion.
Para remediar CVE-2023-20867 VMware lanzo una actualización de “Versión fija” para VMware Tools a su versión 12.2.5. Se recomienda a los usuarios que actualicen lo antes posible para proteger sus sistemas contra estas amenazas.
Referencias:
- https://nvd.nist.gov/vuln/detail/CVE-2023-20867
- https://www.vmware.com/security/advisories/VMSA-2023-0013.html
- https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/
- https://unaaldia.hispasec.com/2023/06/ciberdelincuentes-chinos-explotan-vulnerabilidad-zero-day-de-vmware-en-sistemas-windows-y-linux.html