Varovanie pred zero-day zraniteľnosťou v systéme VMware ESXi
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred zero-day zraniteľnosťou v systéme VMware ESXi, zneužiteľnú s využitím platných prihlasovacích údajov do ESXi. Zraniteľnosť umožňuje vykonanie kódu vo virtuálnych serveroch pod privilegovaným používateľom bez znalosti prihlasovacích údajov na virtuálne servery.
Hoci na zneužitie zraniteľnosti je potrebný prístup na ESXi administračné rozhranie a preto dosahuje CVSS skóre len 3.9, táto zraniteľnosť je aktívne zneužívaná skupinou UNC3386. Situáciu zhoršuje fakt, že virtualizačná platforma VMWare je na Slovensku veľmi rozšírená a nie všetky organizácie dbajú na jej pravidelnú aktualizáciu.
Hackerská skupina UNC3386, údajne sponzorovaná čínskou vládou, zneužíva túto zraniteľnosť už dlhšiu dobu na inštaláciu škodlivého kódu, ktorý slúži na špionáž. Je preto vhodné preveriť aj virtuálne servery na možné stopy kompromitácie a prítomnosť malvéru.
Zraniteľnosť je evidovaná pod označením CVE-2023-20867. Táto zraniteľnosť má negatívny dopad na dôvernosť a integritu systému, keďže plne kompromitovaný ESXi host môže spôsobiť, že VMware Tools zlyhá pri autentifikácii host-guest operácií.
Odporúčania
- aktualizovať všetky komponenty virtualizačnej platformy VMWare
- preveriť virtuálne servery na prítomnosť škodlivého kódu
- prípadný incident nezabudnite nahlásiť Národnému centru kybernetickej bezpečnosti SK-CERT na adrese [email protected].
Zdroje
https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass
« Späť na zoznam