【國家隊進場】VMware已知漏洞被濫用 中國黑客集團UNC3886擅長隱密攻擊

    網絡安全研究公司 Mandiant 早前發表一份報告,詳細剖析國家級黑客集團 UNC3886 如何在過去兩年間,利用 VMware 在當時仍未被發現的 vCenter Server 零日漏洞,秘密入侵目標機構及進行間諜任務。報告發出兩日,VMware 亦承認該項現時已修補的漏洞正被黑客濫用,警告客戶立即更新系統堵塞入侵渠道。

    UNC3886 曾利用 Fortinet 軟件漏洞

    Mandiant 在去年曾發表報告,指中國國家級黑客集團 UNC3886 利用 Fortinet 的軟件漏洞,對其他國家政府的防火牆設備加添木馬程式,從而盜取資料及下載檔案,再通過木馬程式橫向感染其他設備,可見 UNC3886 組織非常擅長利用尚未被公開和修復的零日漏洞攻擊目標,而且能夠持久地潛伏而不被發現。

    在這次事件中,UNC3886 利用的漏洞編號為 CVE-2023-34048,危險程度被評為 9.8 分,是一個非常嚴重的漏洞。專家指這個漏洞屬於越界寫入,允許攻擊者通過網絡訪問 vCenter Server 時遙距執行編碼,而且不需要目標機構的員工作出任何舉動。在取得目標機構的伺服器管理權限後,便可在主機上安裝名為 VIRTUALPITA 和 VIRTUALPIE 的木馬程式,暗中訪問系統下所有 ESXi 物理主機和虛擬機器。

    VMware 伺服器帳戶受歡迎

    雖然這次利用漏洞的屬於國家級黑客,他們一般不會與同行分享已控制的帳戶,令他們可以長期潛伏,但現時有不少帳戶權限經紀人會出售這些帳戶登入方法獲利,特別是 VMware 伺服器,因可用來控制更多虛擬機器,而有證據顯示勒索軟件集團會頻繁由經紀人手上購入帳戶資料,讓他們能夠更輕易對目標企業或機構發動勒索軟件攻擊,例如 Royal、LockBit、ESXiArgs 等集團便大多採用這種合作形式。

    事實上,VMware 已於去年 10 月發布安全更新,但根據 Shodan 的搜索資料,目前仍有超過 2,000 部 VMware Center 伺服器曝露在網絡上,很容易受到攻擊。對於因種種原因例如無法暫停系統運作去安裝更新檔案的企業 IT 管理員,VMware 警告由於沒有其他替代方案,因此權宜方法是實施對 vSphere 中的所有管理元件和介面進行嚴格的網絡外圍訪問控制,同時可考慮關閉 TCP 2012、2014 及 2020 等主要被利用的特定網絡閘道。

    #UNC3886 #VMware #中國黑客 #已知漏洞

    相關文章