Blog News
کشف آسیبپذیري در VMWare ESXi
کشف آسیبپذیري در VMWare ESXi
محققان امنیتی اخیراً کشف کرده اند که گروه هکری چینی به نام UNC3886 در حال بهره برداری از یک آسیبپذیری از نوع روز صفر در VMWare ESXi می باشد تا از این طریق، سطح دسترسی خود بر روی ماشینهای مجازی مهمان یا Guest VM را ارتقاء دهند. در همین ارتباط گفته شده که این گروه از VIBs (که معمولاً برای حفظ و پشتیبانی و اعمال بهروزرسانیها استفاده میشود) برای توزیع Backdoor بر روی هایپروایزرهای ESXi و اخذ دسترسیهای لازم برای اجرای کد، دستکاری فایل ها و .... استفاده میکنند؛ این فعالیت ها برای نخستین بار در ماه سپتامبر سال ٢٠٢٢ کشف شدند. گفته شده فعالیتهای این گروه، ماشینهای مجازی ویندوزی، سرورهای vCenter و نیز هاستهای VMWare ESXi را تحت تأثیر قرار میدهد.
علاوه بر این، UNC3886 از یک آسیبپذیری روز صفر در VMWare Tools استفاده نموده تا به واسطه آن، فرآیند احراز هویت را دور زده و دستوراتی خاص (دستوراتی که برای اجرا، نیازمند سطح اختیارات ویژه میباشند)را بر روی ماشینهای مجازی مبتنی بر ویندوز، لینوکس و PhotonOS اجرا نمایند. آسیبپذیری یاد شده که شناسه CVE-2023-20867 به آن اختصاص یافته است، دارای میزان شدت پایین میباشد چرا که تنها زمانی قابل بهره برداری است که مهاجم دسترسی Root به سرور ESXi داشته باشد. یک هاست آسیبپذیر، میتواند ابزار VMWare Tools را وادار به عدم انجام فرآیند احراز هویت برای ماشینهای مجازی نماید که این موضوع، بحث محرمانگی و یکپارچگی ماشین مجازی را متأثر خواهد ساخت.
محققان امنیتی اعلام کرده اند هکرهای گروه یاد شده، از اسکریپتها برای انجام اقداماتی نظیر تغییر لیست آدرسIPهای مجاز در تمامی هاستهای ESXi، جمعآوری اعتبارنامهها از سرورهای vCenter (با استفاده از پایگاه داده vPostgreSQL مربوطه) و … بهره برداری نموده اند. محققان افزودند که استفاده از این آسیبپذیری، هیچگونه Log Event ای را بر روی ماشین مجازی مربوطه و در زمانی که دستورات از طریق هاست ESXi اجرا میشوند، ایجاد نمی کند. لازم به ذکر است در این حملات، تعداد دو Backdoor به نام های VirtualPita و VirtualGate که از سوکتهای VMCI برای پایداری بر روی سیستم و انجام فاز Lateral Movement استفاده میکنند، نصب شده اند.
در همین رابطه، بدافزار مربوطه ضمن فراهم آوردن امکان دور زدن Network Segmentation و اجتناب از کنترل های امنیتیای که برای پورت های باز که اصطلاحاً Listen میشوند، سطح جدیدی از پایداری و ماندگاری بر روی سیستم را برای تیم هکری فراهم میسازد (دسترسی به یک هاست ESXi به واسطه دسترسی به یک ماشین مجازی، قابل بازیابی است). حسب اعلام محققان، عمده اهداف این حملات، مجموعههای دولتی بوده اند. بهره برداری از این آسیبپذیری، مستلزم داشتن شناختی عمیق از سیستمعامل FortiOS و سختافزارهای اساسی آن میباشد. حسب بررسیهای به عمل آمده، تیم هکری مورد بحث، از قابلیتهای پیشرفتهای از جمله مهندسی معکوس بخشهای مختلف سیستمعامل FortiOS استفاده کرده است.