VMware ESXi : cette faille zero-day est exploitée pour déployer une porte dérobée sur les VMs !
VMware ESXi a reçu un nouveau correctif de sécurité pour ses VMware Tools afin de corriger une faille zero-day exploitée par un groupe de hacking soutenu par la Chine ! Cette vulnérabilité est utilisée pour compromettre des VMs sous Linux et Windows.
Le spécialiste de la cybersécurité Mandiant a fait la découverte de cette campagne de cyberespionnage menée par le groupe UNC3886 et dont l'objectif est de dérober des données. Ces attaques sont basées sur l'exploitation de la faille de sécurité CVE-2023-20867 qui permet d'outrepasser l'authentification dans les VMware Tools pour déployer des portes dérobées sur les machines virtuelles d'un hôte VMware ESXi.
Pour être plus précis, les pirates doivent compromettre l'hyperviseur VMware ESXi (ou le serveur vCenter) en amont, afin de pouvoir exploiter cette vulnérabilité dans le but de déployer les portes dérobées VirtualPita et VirtualPie sur les machines virtuelles Windows et Linux. Les souches malveillantes sont déployées à partir de paquets VIBs spécifiques et totalement adaptés à la plateforme VMware. Une fois qu'elles sont déployées, les attaquants peuvent contrôler à distance la machine infectée.
Dans le bulletin de sécurité de VMware, on peut lire : "Un hôte ESXi entièrement compromis peut forcer VMware Tools à ne pas authentifier les opérations entre l'hôte et les machines virtuelles, ce qui a un impact sur la confidentialité et l'intégrité de la machine virtuelle invitée."
De son côté, Mandiant précise qu'il y a un canal de communication bidirectionnel entre la machine virtuelle et l'hyperviseur, où le rôle de client et de serveur peut être inversé. Un excellent moyen pour l'attaquant d'obtenir un accès persistant sur l'infrastructure compromise.
Pour vous protéger de cette vulnérabilité, vous devez mettre à jour les VMware Tools sur vos machines virtuelles. La version à installer est VMware Tools 12.2.5.
L'autre alerte du moment concerne les firewalls Fortigate de chez Fortinet suite à la découverte d'une nouvelle faille de sécurité critique dans la fonction VPN SSL (voir cet article). Si j'en parle, ce n'est pas un hasard : le groupe identifié avec le nom UNC3886 a exploité une faille de sécurité Fortinet (CVE-2023-20867) dans cette même campagne d'attaques.
Enfin, Mandiant précise que les cybercriminels s'intéressent beaucoup aux systèmes qui ne peuvent pas être équipés d'un EDR, ce qui est le cas des hyperviseurs VMware ESXi, mais aussi de certains équipements réseau ou des baies SAN. Ceci permet d'agir sur un système sans être détecté, si ce n'est que l'on pourrait toujours détecter des flux réseau suspects.
sysadmin_cry = yes ;