中国威胁组织于 2021 年利用 VMware 漏洞

根据 Mandiant 的最新研究，两年前，一个与中国有联系的威胁行为者在野外利用了 10 月份修补的一个关键 VMware 漏洞。

10 月 25 日，VMware 首次披露了一个编号为 CVE-2023-34048 的越界写入漏洞以及一个编号为 CVE-2023-34056 的部分信息泄露漏洞，这些漏洞影响了 vCenter Server。 供应商警告说，利用前一个缺陷，该缺陷已收到 CVSS 得分为 9.8，可能允许攻击者在易受攻击的计算机上获得远程代码执行。 VMware 称赞趋势科技零日计划漏洞研究员 Grigory Dorodnov 报告了这些问题。

周三，VMware 用新信息更新了该通报，警告客户越界写入漏洞正受到攻击。

VMware 在声明中写道：“VMware 已确认 CVE-2023-34048 的利用已在野外发生。” 安全咨询。

在周五的另一篇博文中，Mandiant 将 CVE-2023-34048 的利用归咎于一个与中国有联系的间谍组织，该组织追踪为 UNC3886。 更令人担忧的是，研究人员与 VMware Product Security 一起发现了可追溯到 2021 年底的利用漏洞。UNC3886 因利用漏洞而闻名。 零日漏洞 作为其规避技术的一部分，并针对通常不部署端点检测和响应的技术。

CVE-2023-20867 就是此类零日漏洞之一，它是 VMware Tools 中的一个身份验证绕过漏洞，影响该公司的 ESXi 虚拟机管理程序。 Mandiant发现了这个缺陷 在对针对 VMware 产品的新型恶意软件系列进行调查期间。

在对这些攻击中威胁行为者的规避技术进行调查期间，研究人员发现后门已部署到受感染的 vCenter 系统中，但需要时间才能找到攻击媒介。 2023 年末，Mandiant 在受影响的 vCenter 系统的服务崩溃日志中发现了 CVE-2023-34048 利用的证据。

Mandiant 研究人员在报告中写道：“虽然 Mandiant 在 2023 年 10 月进行了公开报告并进行了修补，但 Mandiant 在 2021 年底到 2022 年初之间观察到了多个 UNC3886 案例中的这些崩溃，这使得攻击者可以在大约一年半的时间内访问此漏洞。”这 博客文章。

Mandiant 表示，大多数发生此类崩溃的环境的日志条目都完好无损，但 VMware 崩溃转储本身已被删除。 研究人员写道：“VMware 的默认配置会将核心转储无限期地保留在系统上，这表明攻击者故意删除了核心转储，以掩盖其踪迹。”

目前尚不清楚该漏洞利用活动是否正在进行，或者 VMware 的通报更新仅涉及 UNC3886 过去的漏洞利用。 TechTarget 编辑联系 VMware 请其置评，但截至发稿时该公司尚未做出回应。

安全新闻总监 Rob Wright 对本文做出了贡献。

Arielle Waldman 是一位驻波士顿记者，报道企业安全新闻。