کشف‌ آسیب‌پذیري در VMWare ESXi

محققان امنیتی‌ اخیراً کشف‌ کرده اند که‌ گروه هکری‌ چینی‌ به‌ نام UNC3886 در حال بهره برداری‌ از یک‌ آسیب‌پذیری‌ از نوع روز صفر در VMWare ESXi می‌ باشد تا از این‌ طریق‌، سطح‌ دسترسی‌ خود بر روی‌ ماشین‌های‌ مجازی‌ مهمان یا Guest VM را ارتقاء دهند. در همین‌ ارتباط گفته‌ شده که‌ این‌ گروه از VIBs (که‌ معمولاً برای‌ حفظ‌ و پشتیبانی‌ و اعمال به‌روزرسانی‌ها استفاده می‌شود) برای‌ توزیع‌ Backdoor بر روی‌ هایپروایزرهای‌ ESXi و اخذ دسترسی‌های‌ لازم برای‌ اجرای‌ کد، دستکاری‌ فایل‌ ها و .... استفاده می‌کنند؛ این‌ فعالیت‌ ها برای‌ نخستین‌ بار در ماه سپتامبر سال ٢٠٢٢ کشف‌ شدند. گفته‌ شده فعالیت‌های‌ این‌ گروه، ماشین‌های‌ مجازی‌ ویندوزی‌، سرورهای‌ vCenter و نیز هاست‌های‌ VMWare ESXi را تحت‌ تأثیر قرار می‌دهد.

علاوه بر این‌، UNC3886 از یک‌ آسیب‌پذیری‌ روز صفر در VMWare Tools استفاده نموده تا به‌ واسطه‌ آن، فرآیند احراز هویت‌ را دور زده و دستوراتی‌ خاص (دستوراتی‌ که‌ برای‌ اجرا، نیازمند سطح‌ اختیارات ویژه می‌باشند)را بر روی‌ ماشین‌های‌ مجازی‌ مبتنی‌ بر ویندوز، لینوکس‌ و PhotonOS اجرا نمایند. آسیب‌پذیری‌ یاد شده که‌ شناسه‌ CVE-2023-20867 به‌ آن اختصاص یافته‌ است‌، دارای‌ میزان شدت پایین‌ می‌باشد چرا که‌ تنها زمانی‌ قابل‌ بهره برداری‌ است‌ که‌ مهاجم‌ دسترسی‌ Root به‌ سرور ESXi داشته‌ باشد. یک‌ هاست‌ آسیب‌پذیر، می‌تواند ابزار  VMWare Tools را وادار به‌ عدم انجام فرآیند احراز هویت‌ برای‌ ماشین‌های‌ مجازی‌ نماید که‌ این‌ موضوع، بحث‌ محرمانگی‌ و یکپارچگی‌ ماشین‌ مجازی‌ را متأثر خواهد ساخت‌.

 محققان امنیتی‌ اعلام کرده اند هکرهای‌ گروه یاد شده، از اسکریپت‌ها برای‌ انجام اقداماتی‌ نظیر تغییر لیست‌ آدرسIPهای‌ مجاز در تمامی‌ هاست‌های‌ ESXi، جمع‌آوری‌ اعتبارنامه‌ها از سرورهای‌ vCenter (با استفاده از پایگاه داده vPostgreSQL مربوطه‌) و … بهره برداری‌ نموده اند. محققان افزودند که‌ استفاده از این‌ آسیب‌پذیری‌، هیچگونه‌ Log Event ای‌ را بر روی‌ ماشین‌ مجازی‌ مربوطه‌ و در زمانی‌ که‌ دستورات از طریق‌ هاست‌ ESXi اجرا می‌شوند، ایجاد نمی‌ کند. لازم به‌ ذکر است‌ در این‌ حملات، تعداد دو Backdoor به‌ نام های‌ VirtualPita و VirtualGate که‌ از سوکت‌های‌ VMCI برای‌ پایداری‌ بر روی‌ سیستم‌ و انجام فاز Lateral Movement استفاده می‌کنند، نصب‌ شده اند.

در همین‌ رابطه‌، بدافزار مربوطه‌ ضمن‌ فراهم‌ آوردن امکان دور زدن Network Segmentation و اجتناب از کنترل های‌ امنیتی‌ای‌ که‌ برای‌ پورت های‌ باز که‌ اصطلاحاً Listen می‌شوند، سطح‌ جدیدی‌ از پایداری‌ و ماندگاری‌ بر روی‌ سیستم‌ را برای‌ تیم‌ هکری‌ فراهم‌ می‌سازد (دسترسی‌ به‌ یک‌ هاست‌ ESXi به‌ واسطه‌ دسترسی‌ به‌ یک‌ ماشین‌ مجازی‌، قابل‌ بازیابی‌ است‌). حسب‌ اعلام محققان، عمده اهداف این‌ حملات، مجموعه‌های‌ دولتی‌ بوده اند. بهره برداری‌ از این‌ آسیب‌پذیری‌، مستلزم داشتن‌ شناختی‌ عمیق‌ از سیستم‌عامل‌ FortiOS و سخت‌افزارهای‌ اساسی‌ آن می‌باشد. حسب‌ بررسی‌های‌ به‌ عمل‌ آمده، تیم‌ هکری‌ مورد بحث‌، از قابلیت‌های‌ پیشرفته‌ای‌ از جمله‌ مهندسی‌ معکوس بخش‌های‌ مختلف‌ سیستم‌عامل‌ FortiOS استفاده کرده است‌.