探索网络安全新技术
攀登黑客技术最高峰

中国黑客大佬利用ESXi 0day漏洞窃取美国机密信息(干得漂亮)

一组中国黑客以前曾被发现攻击VMware ESXi主机,现在他们已经悄悄地利用了虚拟化技术中的零日身份验证绕过漏洞,在客户虚拟机(VM)上执行特权命令。

中国黑客大佬利用ESXi 0day漏洞窃取美国机密信息(干得漂亮)-威武网安

Mandiant的研究人员在对他们一直在追踪的中国威胁行为者UNC3886进行持续调查时发现了这个漏洞,并在去年向VMware披露了这个漏洞,后者在周二发布了修复该漏洞的补丁。

这个零日漏洞(CVE-2023-208670)存在于VMware Tools中,它是用于增强客户操作系统管理的一组服务和模块。

这个漏洞使攻击者有办法利用被入侵的ESXi主机在Windows、Linux和vCenter客户虚拟机之间传输文件,而无需使用客户虚拟机凭据,也不需要默认记录正在进行的活动。VMware评估这个漏洞的严重程度为中等,因为要利用它,攻击者需要已经拥有ESXi主机的根访问权限。

Mandiant发现UNC3886利用CVE-2023-208670作为更大且复杂攻击链中的一部分,其研究人员在过去几个月逐步揭开了这个攻击链。

在2022年9月,Mandiant报告称发现UNC3886使用有毒的vSphere安装包或VIB在ESXi hypervisor上安装多个后门,这些后门被统称为VirtualPITA和VirtualPIE。这些后门使攻击者能够保持对hypervisor的持久性管理员访问权限,将命令通过hypervisor路由到客户虚拟机上执行,并在hypervisor和客户机之间传输文件。该恶意软件包还允许UNC3886行动者篡改hypervisor的日志服务,并在同一hypervisor上的客户VM之间执行任意命令。

当时Mandiant的分析显示,威胁行为者需要在ESXi hypervisor上拥有管理员级别的权限才能部署后门。但是他们没有发现UNC3886行动者利用任何零日漏洞来进入ESXi环境或部署武器化的VIB。

安全厂商在本周的技术报告中继续调查UNC3886的活动,揭示了威胁行为者的策略和方法的新细节。例如,他们发现威胁行为者从vCenter Server设备中收集连接的ESXi服务账户凭据,并利用CVE-2023-20867在客户虚拟机之间执行特权命令。Mandiant的研究还显示,UNC3886行动者使用虚拟机通信接口(VMCI)套接字部署后门,包括VirtualPITA和另一个称为VirtualGATE,以进行横向移动和额外的持久性。

“这使得任何客户虚拟机都可以直接重新连接到被入侵的ESXi主机的后门,而不受网络分割或防火墙规则的影响,”Mandiant表示。

本周的报告详细介绍了整个攻击链的技术细节,从威胁行为者获得组织的vCenter服务器的特权访问开始,并检索所有连接的ESXi主机的服务账户凭据。报告还描述了UNC3886行动者如何利用这些凭据连接到ESXi主机,使用VIB在这些主机上部署VirtualPITA和VirtualPIE后门,以及利用CVE-2023-208670在运行中的客户虚拟机上执行命令并传输文件。

Mandiant表示,这个威胁行为者针对的是属于国防、科技和电信公司的ESXi主机。Google Cloud的Mandiant顾问Alex Marvi说:“为了使许多ESXi主机能够连接,UNC3886针对每个管理多个ESXi主机的vCenter服务器。每个ESXi主机在最初连接到vCenter服务器时会创建一个名为’vpxuser’的服务账户。UNC3886被发现收集了vCenter服务器上的这个vpxuser账户,以便他们可以以管理员权限连接到所有连接的ESXi主机。”一旦连接到ESXi主机,威胁行为者利用CVE-2023-20867在运行的客户虚拟机上执行命令和传输文件,而不需要客户虚拟机的凭据。

Mandiant评估UNC3886是一个特别擅长针对不支持端点检测和响应技术的防火墙和虚拟化技术中的零日漏洞的威胁行为者。其主要目标在美国以及亚太地区和日本的组织。根据Marvi的说法,UNC3886展示了在需要时切换攻击路径和策略的能力。他指出,威胁行为者在Fortinet设备上部署了一套新的恶意软件工具,这证明了他们进行高度复杂攻击所需的能力和资源。

Marvi说:“UNC3886已经表现出自己是一个灵活而又高效的威胁行为者,将开源项目修改以完成他们的任务。我认为这个组织的TTP更具动态性而不是独特性,它们是根据自己获得的访问权限来构建的,以便重新获得访问或在环境中持续存在。”

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《中国黑客大佬利用ESXi 0day漏洞窃取美国机密信息(干得漂亮)》
文章链接:https://www.wevul.com/1571.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 4

  1. #1

    这个洞还是很牛逼的,但是评分等级太低了。目前纰漏的漏洞信息是将vmx进程的某个单字节修改,将默认的vix用户权限从1改为3。3就是默认root权限。我分析了一下源码,在vmtools调用runprogram的时候默认用户权限传的是0,也就是none权限,找宏定义为1的位置都是一些等号操作,函数参数都是直接将credential传进来处理。目前跟进到仿真用户那里应该是获取真正默认的用户token的地方。如果能把这个验证过掉,用vmware开源的vix API基本可以实现全部的客户机功能操作。

    aaa8个月前 (06-21)回复

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册