Un gruppo di cyber-spionaggio cinese precedentemente individuato dagli esperti nel mirino degli host VMware ESXi ha segretamente sfruttato una vulnerabilità zero-day di bypass dell’autenticazione nella tecnologia di virtualizzazione per eseguire comandi privilegiati su macchine virtuali guest.
I ricercatori di Mandiant hanno scoperto la vulnerabilità durante le indagini in corso su UNC3886, un attore minaccia cinese che viene monitorato da tempo e di cui hanno riferito l’anno scorso. Hanno divulgato la vulnerabilità a VMware, che ha rilasciato una patch per affrontare la falla martedì.
Zero-Day di Bypass dell’Autenticazione
La vulnerabilità zero-day (CVE-2023-208670) è presente in VMware Tools, un insieme di servizi e moduli per la gestione avanzata dei sistemi operativi guest.
Il bug consente agli aggressori di utilizzare un host ESXi compromesso per trasferire file da e verso macchine virtuali guest Windows, Linux e vCenter senza la necessità di credenziali guest e senza alcun registro predefinito delle attività in corso. VMware ha valutato la falla come di gravità media perché per sfruttarla l’attaccante deve già avere accesso root su un host ESXi.
UNC3886 ha utilizzato CVE-2023-208670 come parte di una catena di attacchi più ampia e sofisticata, che i ricercatori di Mandiant hanno svelato nei mesi scorsi.
Nel settembre 2022, Mandiant ha riferito di aver scoperto UNC3886 che utilizzava pacchetti di installazione di vSphere avvelenati, noti come VIB, per installare più backdoor, collettivamente denominati VirtualPITA e VirtualPIE, sugli hypervisor ESXi. Le backdoor consentivano agli attaccanti di mantenere un accesso amministrativo persistente all’hypervisor, di instradare comandi attraverso l’hypervisor per l’esecuzione su guest VM e di trasferire file tra l’hypervisor e le macchine guest. Il pacchetto malware ha anche permesso all’attore UNC3886 di manipolare il servizio di registrazione dell’hypervisor ed eseguire comandi arbitrari tra le guest VM sullo stesso hypervisor.
L’analisi di Mandiant ha mostrato che l’attore minaccia aveva bisogno di privilegi di amministratore sull’hypervisor ESXi per distribuire le backdoor. Tuttavia, non sono state trovate prove che gli attori di UNC3886 abbiano sfruttato alcuna vulnerabilità zero-day per violare l’ambiente ESXi o per distribuire i pacchetti VIB manipolati.
Nuovi dettagli sulle tattiche e i metodi dell’Attore
L’indagine continua del fornitore di sicurezza sulla campagna di UNC3886 – riassunta in un rapporto tecnico questa settimana – ha rivelato nuovi dettagli sulle tattiche e i metodi dell’attore minaccia. Ad esempio, è emerso che l’attore minaccia ha raccolto credenziali per gli account di servizio ESXi collegati dall’appliance vCenter Server e ha sfruttato CVE-2023-20867 per eseguire comandi privilegiati su macchine virtuali guest. La ricerca di Mandiant ha mostrato anche che gli attori di UNC3886 hanno distribuito altre backdoor, tra cui VirtualGATE, utilizzando l’interfaccia di comunicazione delle macchine virtuali (VMCI) per il movimento laterale e la persistenza aggiuntiva. “Questo… ha permesso una riconnessione diretta da qualsiasi guest VM alla backdoor compromessa dell’hypervisor, indipendentemente dalla segmentazione di rete o dalle regole del firewall in atto”, ha dichiarato Mandiant.
Il rapporto di Mandiant questa settimana fornisce dettagli tecnici sull’intera catena di attacco a partire dall’accesso privilegiato del threat actor al server vCenter dell’organizzazione e dal recupero delle credenziali degli account di servizio per tutti gli hypervisor ESXi collegati. Il rapporto descrive come gli attori di UNC3886 abbiano utilizzato queste credenziali per connettersi agli hypervisor ESXi, distribuire le backdoor VirtualPITA e VirtualPIE utilizzando i VIB e poi sfruttare CVE-2023-208670 per eseguire comandi di trasferimento file da e verso le macchine virtuali guest.
L’attore minaccia ha preso di mira gli hypervisor ESXi appartenenti a aziende di difesa, tecnologia e telecomunicazioni, ha affermato Mandiant.
“Per consentire connessioni a molti host ESXi contemporaneamente, UNC3886 ha preso di mira i server vCenter, ciascuno dei quali amministra più host ESXi”, afferma Alex Marvi, consulente presso Mandiant di Google Cloud. “Ogni host ESXi crea un account di servizio chiamato ‘vpxuser’ quando viene inizialmente connesso a un server vCenter. UNC3886 è stato visto raccogliere questo account vpxuser su server vCenter per poter connettersi con diritti amministrativi a tutti gli host ESXi collegati”. Una volta connesso agli host ESXi, l’attore minaccia ha sfruttato CVE-2023-20867 per eseguire comandi e trasferire file sulle macchine virtuali in esecuzione senza la necessità delle credenziali degli ospiti, afferma.
Tecniche inedite
La raccolta di credenziali degli account di servizio ESXi collegati sui server vCenter e le capacità della backdoor del socket VMCI sono due nuove tecniche che Mandiant non ha visto utilizzare da altri attaccanti in passato, afferma Marvi. “Questo dovrebbe aiutare le organizzazioni a rilevare e rispondere a questo percorso di attacco, indipendentemente dal malware esatto in uso o dai comandi utilizzati”.
Mandiant ha valutato UNC3886 come un attore minaccia particolarmente abile nel mirare e sfruttare bug zero-day nelle tecnologie di firewall e virtualizzazione che non supportano le tecnologie di rilevamento e risposta agli endpoint. I suoi obiettivi principali sono negli Stati Uniti e nelle organizzazioni della regione Asia-Pacifico e del Giappone. Secondo Marvi, UNC3886 ha dimostrato la capacità di adattare i percorsi e le tattiche degli attaccanti quando necessario. Egli fa riferimento a un nuovo set di strumenti malware che l’attore minaccia ha utilizzato su dispositivi Fortinet come prova delle sue capacità e dell’accesso alle risorse necessarie per effettuare attacchi altamente sofisticati.
“UNC3886 si è dimostrato un attore minaccia flessibile ma altamente capace, che modifica progetti open source per completare la loro missione”, afferma. “Sostengo che le TTP (tattiche, tecniche e procedure) di questo gruppo sono più dinamiche che uniche, costruite attorno alle esatte necessità per riacquistare l’accesso o persistere in un ambiente con cui vengono forniti accesso”