VMware ha di recente rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità zero-day nel suo hypervisor ESXi.
“Un host ESXi completamente compromesso potrebbe impedire a VMware Tools di autenticare le transazioni tra l’host e la macchina virtuale guest, compromettendo la riservatezza e l’integrità della macchina virtuale guest”, è quanto si legge nell’avviso di sicurezza ufficiale di VMware.
Purtroppo, alcune evidenze mostrerebbero che tale difetto sarebbe stato attivamente utilizzato dal collettivo nation-state cinese UNC3886 nella sua catena d’attacco con pesanti implicazioni sulla sicurezza di sistemi Windows e Linux.
Indice degli argomenti
La vulnerabilità sfruttata nella catena d’attacco
Secondo quanto documentato da Mandiant in un suo recente report, tale vulnerabilità zero-day dei VMware Tools tracciata come CVE-2023-20867 sarebbe stata sfruttata dal noto collettivo di criminali informatici all’interno della propria catena d’attacco, allo scopo di aggirare l’autenticazione tra l’hypervisor e le macchine virtuali guest.
Sfruttamento della vulnerabilità CVE-2023-20867 all’interno della catena d’attacco (fonte: Mandiant).
Infatti, come riportato in figura, per sfruttare appieno dei sistemi ESXi, l’attore della minaccia dopo aver guadagnato l’acceso con privilegi ai server vCenter, collegatosi agli host ESXi enumerati, rilasciato le backdoor (VIRTUALPITA, VIRTUALPIE), abuserebbe del difetto CVE-2023-20867 per eseguire comandi arbitrari e trasferire file da e verso VM guest Windows, Linux e PhotonOS (vCenter), impiegando anche dei socket di comunicazione VMCI (Virtual Machine Communication Interface) garantendo un canale nascosto bidirezionale tra l’host ESXi compromesso e le proprie VM guest, il movimento laterale e persistenza.
Possibile impiego delle comunicazioni VMCI dell’hypervisor ESXi da parte di un utente malintenzionato (fonte: Mandiant).
“Questo canale di comunicazione aperto tra i sistemi guest e host, in cui entrambi possono agire come client o server, consente di creare un nuovo modo per mantenere l’accesso a un host ESXi fino a quando non viene implementata una backdoor completa e un utente malintenzionato ottiene accesso a qualsiasi macchina guest”, afferma la società americana di sicurezza informatica.
Applicare le correzioni tempestivamente
Sebbene alla vulnerabilità CVE-2023-20867 sia stato assegnato un punteggio CVSS 3,9, il CSIRT Italia, in considerazione dello sfruttamento attivo in rete e della diffusione del prodotto interessato, stima un impatto della vulnerabilità sulla comunità di livello arancione e pari a un punteggio di 67.56/100 ed esorta, in linea con le indicazioni dello stesso fornitore VMware, ad aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile (VMware Tools 12.x, 11.x, 10.3.x).
Quest’ultima ricerca punta ulteriormente i riflettori sulla profonda conoscenza tecnica che questo collettivo di criminali informatici possiede sulla piattaforma di virtualizzazione di VMware e sulla sua comprovata capacità di sfruttare exploit zero-day.
Chi sono i criminal hacker del gruppo UNC3886
UNC3886 è un gruppo di spionaggio informatico noto per la sua abilità a sfruttare le vulnerabilità zero-day nascoste nelle tecnologie firewall e di virtualizzazione, che non supportano soluzioni EDR, che ha preso di mira nel tempo organizzazioni di difesa e ICT negli Stati Uniti, in Giappone e nella regione dell’Asia-Pacifico.
“UNC3886 sfrutta nuove famiglie di malware e utilità che indicano che il gruppo ha accesso a ricerche approfondite e supporto per comprendere la tecnologia alla base delle appliance prese di mira”, afferma Mandiant nel suo report.
Già in passato, infatti, gli stessi ricercatori avrebbero attribuito a UNC3886 l’infezione di server VMware ESXi e vCenter con backdoor denominate VIRTUALPITA e VIRTUALPIE e lo sfruttamento della falla di sicurezza CVE-2022-41328 (ora corretta) per compromettere i dispositivi firewall FortiGate.
