X-ray
Um grupo APT chinês tirou vantagem de uma vulnerabilidade num produto da VMware um ano e meio antes de ser corrigida em outubro de 2023
26/01/2024
|
Em outubro, a VMware corrigiu uma vulnerabilidade crítica (CVE-2023-34048) de execução remota de código nos seus produtos vCenter Server e Cloud Foundation que são utilizados para gerir máquinas virtuais em clouds híbridas. Soube-se agora que um grupo de ciberespionagem chinês explorou a vulnerabilidade durante um ano e meio. Um relatório da Mandiant refere que o grupo UNC3886 “tem um histórico de utilizar vulnerabilidades zero-day para completar a sua missão sem ser detetado e este último exemplo demonstram as suas capacidades”. Em junho de 2023, a Mandiant documentou como o mesmo grupo explorou uma vulnerabilidade de bypass de autenticação em ferramentas VMware para comprometer hosts ESXi. O ataque, explicou na altura a Mandiant, levou o grupo a ganhar acesso aos servidores vCenter e, depois, extrair as credenciais para a conta vpxuser – criada automaticamente e associada ao vCenter, mas cifrada por pré-definição. Na altura, questionava-se como é que o grupo conseguiu obter a password, uma vez que precisava de acesso ao root. Agora, descobriu-se que o grupo explorou a vulnerabilidade corrigida em outubro para o conseguir. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
ANALYSIS
Operação da Sophos descobre vasto ecossistema de adversários na China
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
