VMware ha confirmado que una vulnerabilidad crítica de ejecución remota de código de vCenter Server parcheada en octubre se encuentra ahora bajo explotación activa.
vCenter Server es una plataforma de gestión para entornos VMware vSphere que ayuda a los administradores a gestionar servidores ESX y ESXi y máquinas virtuales (VM). «VMware ha confirmado que la explotación de CVE-2023-34048 se ha producido en la naturaleza», dijo la compañía en una actualización añadida al aviso original esta semana.
La vulnerabilidad fue reportada por el investigador de vulnerabilidades de Trend Micro Grigory Dorodnov y es causada por una debilidad de escritura fuera de límites en la implementación del protocolo DCE/RPC de vCenter.
Los atacantes pueden aprovecharla de forma remota en ataques de baja complejidad con alto impacto en la confidencialidad, integridad y disponibilidad que no requieren autenticación o interacción del usuario. Debido a su naturaleza crítica, VMware también ha publicado parches de seguridad para varios productos que han llegado al final de su vida útil sin soporte activo.
Aunque se informó públicamente y se parcheó en octubre de 2023, las entidades de seguridad Mandiant y VMware Product Security han descubierto que UNC3886, un grupo de espionaje muy avanzado vinculado a China, ha estado explotando CVE-2023-34048 en las últimas semanas.
Estos hallazgos se derivan de la investigación continua de Mandiant sobre las nuevas rutas de ataque utilizadas por UNC3886, que históricamente se centra en tecnologías que no pueden tener EDR desplegado en ellas. UNC3886 tiene un historial de utilización de vulnerabilidades de día cero para completar su misión sin ser detectado, y este último ejemplo demuestra aún más sus capacidades.
Ataques dirigidos hacia servidores no parcheados
A los intermediarios de acceso a la red les gusta apoderarse de servidores VMware y luego venderlos en foros de ciberdelincuencia a bandas de ransomware para facilitar el acceso a las redes corporativas. Muchos grupos de ransomware (como Royal, Black Basta, LockBit y, más recientemente, RTM Locker, Qilin, ESXiArgs, Monti y Akira) son conocidos ahora por apuntar directamente a los servidores VMware ESXi de las víctimas para robar y cifrar sus archivos y exigir enormes rescates.
Según los datos de Shodan, más de 2.000 servidores VMware Center están actualmente expuestos en línea, potencialmente vulnerables a los ataques y exponiendo las redes corporativas a riesgos de violación dada su función de gestión de vSphere.
Dado que no existe una solución, VMware ha instado a los administradores que no puedan parchear sus servidores a que controlen estrictamente el acceso del perímetro de red a los componentes de gestión de vSphere.
«VMware recomienda encarecidamente un estricto control de acceso al perímetro de red de todos los componentes e interfaces de gestión de vSphere y componentes relacionados, como componentes de almacenamiento y red, como parte de una postura de seguridad global efectiva», advirtió la compañía.
Los puertos de red específicos vinculados a la explotación potencial en ataques dirigidos a esta vulnerabilidad son 2012/tcp, 2014/tcp y 2020/tcp.
En junio, VMware también corrigió varios fallos de seguridad de alta gravedad en vCenter Server que planteaban riesgos de ejecución de código y de elusión de autenticación en servidores vulnerables.
Esa misma semana, la empresa corrigió un día cero de ESXi utilizado por hackers estatales chinos en ataques de robo de datos y advirtió a los clientes de otro fallo crítico de Aria Operations for Networks que se estaba explotando activamente.
Desde principios de año, los administradores de TI y los equipos de seguridad han tenido que hacer frente a las advertencias de múltiples vulnerabilidades de seguridad en explotación activa, incluidos los días cero que afectan a los servidores Ivanti Connect Secure, Ivanti EPMM y Citrix Netscaler.
Análisis técnico de la vulnerabilidad
Cuando se cubrió el descubrimiento de CVE-2023-20867 en las herramientas de VMware, se presentó la ruta de ataque de la siguiente Figura:
En la figura anterior se puede observar el flujo de la actividad del atacante dentro del ecosistema de VMware (es decir, vCenter, hipervisores ESXi, máquinas huéspedes virtualizadas). En ese momento, con las pruebas disponibles, Mandiant siguió investigando cómo se estaban desplegando puertas traseras en los sistemas vCenter.
A finales de 2023, se observó una similitud en los sistemas vCenter afectados que explicaba cómo el atacante obtenía el acceso inicial a los sistemas vCenter. En los registros de bloqueos de servicios de VMware, /var/log/vMonCoredumper.log, las siguientes entradas muestran el bloqueo del servicio «vmdird» minutos antes de que se desplegaran las puertas traseras de los atacantes:
El análisis del volcado del núcleo de «vmdird» realizado tanto por Mandiant como por VMware Product Security mostró que el bloqueo del proceso está estrechamente alineado con la explotación de CVE-2023-34048, la vulnerabilidad de escritura fuera de los límites de vCenter en la implementación del protocolo DCE/RPC parcheada en octubre de 2023, que permite la ejecución remota de comandos sin autenticación en sistemas vulnerables.
Recomendaciones
Aunque se informó públicamente de ello y se parcheó en octubre de 2023, Mandiant ha observado estas caídas en múltiples casos UNC3886 entre finales de 2021 y principios de 2022, lo que deja una ventana de aproximadamente un año y medio en la que este atacante tuvo acceso a esta vulnerabilidad. En la mayoría de los entornos en los que se observaron estas caídas se conservaron las entradas de registro, pero se eliminaron los volcados de núcleo «vmdird». Las configuraciones por defecto de VMware mantienen los volcados de núcleo durante un tiempo indefinido en el sistema, lo que sugiere que los volcados de núcleo fueron eliminados a propósito por el atacante en un intento de cubrir sus huellas.
Como se menciona en el aviso de VMware, esta vulnerabilidad ha sido parcheada en vCenter 8.0U2 y Mandiant recomienda a los usuarios de VMware que actualicen a la última versión de vCenter para evitar que esta vulnerabilidad sea explotada.
Referencia:
https://www.thestack.technology/vcenter-server-vulnerability-cve-2023-34048/