【國家隊進場】VMware已知漏洞被濫用　中國黑客集團UNC3886擅長隱密攻擊

網絡安全研究公司 Mandiant 早前發表一份報告，詳細剖析國家級黑客集團 UNC3886 如何在過去兩年間，利用 VMware 在當時仍未被發現的 vCenter Server 零日漏洞，秘密入侵目標機構及進行間諜任務。報告發出兩日，VMware 亦承認該項現時已修補的漏洞正被黑客濫用，警告客戶立即更新系統堵塞入侵渠道。

UNC3886 曾利用 Fortinet 軟件漏洞

Mandiant 在去年曾發表報告，指中國國家級黑客集團 UNC3886 利用 Fortinet 的軟件漏洞，對其他國家政府的防火牆設備加添木馬程式，從而盜取資料及下載檔案，再通過木馬程式橫向感染其他設備，可見 UNC3886 組織非常擅長利用尚未被公開和修復的零日漏洞攻擊目標，而且能夠持久地潛伏而不被發現。

在這次事件中，UNC3886 利用的漏洞編號為 CVE-2023-34048，危險程度被評為 9.8 分，是一個非常嚴重的漏洞。專家指這個漏洞屬於越界寫入，允許攻擊者通過網絡訪問 vCenter Server 時遙距執行編碼，而且不需要目標機構的員工作出任何舉動。在取得目標機構的伺服器管理權限後，便可在主機上安裝名為 VIRTUALPITA 和 VIRTUALPIE 的木馬程式，暗中訪問系統下所有 ESXi 物理主機和虛擬機器。

VMware 伺服器帳戶受歡迎

雖然這次利用漏洞的屬於國家級黑客，他們一般不會與同行分享已控制的帳戶，令他們可以長期潛伏，但現時有不少帳戶權限經紀人會出售這些帳戶登入方法獲利，特別是 VMware 伺服器，因可用來控制更多虛擬機器，而有證據顯示勒索軟件集團會頻繁由經紀人手上購入帳戶資料，讓他們能夠更輕易對目標企業或機構發動勒索軟件攻擊，例如 Royal、LockBit、ESXiArgs 等集團便大多採用這種合作形式。

事實上，VMware 已於去年 10 月發布安全更新，但根據 Shodan 的搜索資料，目前仍有超過 2,000 部 VMware Center 伺服器曝露在網絡上，很容易受到攻擊。對於因種種原因例如無法暫停系統運作去安裝更新檔案的企業 IT 管理員，VMware 警告由於沒有其他替代方案，因此權宜方法是實施對 vSphere 中的所有管理元件和介面進行嚴格的網絡外圍訪問控制，同時可考慮關閉 TCP 2012、2014 及 2020 等主要被利用的特定網絡閘道。