Kínai kémkedési csoport évekig kihasználta a VMware-t
Bár a Mandiant és a VMware Product Security 2023 októberében nyilvánosan jelentette és javította, az UNC3886 – egy rendkívül fejlett kínai kémcsoport – már 2021 végén kihasználta a CVE-2023-34048 hibát, a VMware vCenter Server kritikus sérülékenységét.
Ezek az eredmények a Mandiant folyamatos kutatásából származnak, amely az UNC3886 által használt újszerű támadási útvonalakat vizsgálja, és amely történelmileg olyan technológiákra összpontosít, amelyekre nem lehet EDR-t telepíteni. Az UNC3886 már többször használta fel a nulladik napi sebezhetőségeket, hogy küldetését észrevétlenül teljesítse, és ez a legújabb példa tovább bizonyítja képességeit.
A Mandiant legfrissebb eredményei azt mutatják, hogy a VMware-t megcélzó nemzetállami szereplő nulladik napi fegyvere nem volt más, mint a CVE-2023-34048, amely lehetővé tette számára, hogy kiváltságos hozzáférést nyerjen a vCenter rendszerhez, és az összes ESXi hosthoz és a hozzájuk tartozó vendégrendszerhez csatlakoztatott virtuális gépekhez.
