[English]Kurzer Rückblick auf ein "sterbendes Thema". In VMware vScenter Server gab es eine Schwachstelle CVE-2023-34048, die im Oktober 2023 durch einen Patch geschlossen wurde. Die Sicherheitspezialisten von Mandiant sind zusammen mit der VMware Product Security zur Erkenntnis gelangt, dass die chinesische Spionagegruppe UNC3886 die vCenter-Schwachstelle CVE-2023-34048 seit Ende 2021 ausgenutzt hat.
Anzeige
Die Sicherheitsforscher von Mandiant haben ihre Erkenntnisse bereits zum 19. Januar 2024 in einem Blog-Beitrag Chinese Espionage Group UNC3886 Found Exploiting CVE-2023-34048 Since Late 2021 veröffentlicht. Ist mir durch nachfolgenden Tweet wieder in Erinnerung gekommen.
Die Mandiant-Forscher sind über eine Infektion auf die gesamte Angriffskette innerhalb des VMware-Ökosystems (d. h. vCenter, ESXi-Hypervisoren, virtualisierte Gastmaschinen) auf den Sachverhalt gestoßen. Als sie den Angriff im Hinblick auf hinterlassene Hintertüren durchsuchten, stießen sie auf Angreiferaktivitäten in vCenter-Systemen, die bis Ende 2021 zurück reichten.
Ende 2023 wurde auf den betroffenen vCenter-Systemen eine Ähnlichkeit festgestellt, die erklärt, wie der Angreifer den ersten Zugang zu den vCenter-Systemen erlangt hat. In den Absturzprotokollen der VMware-Dienste (/var/log/vMonCoredumper.log) ließ sich erkennen, dass der Dienst "vmdird" wenige Minuten vor der Bereitstellung der Backdoors durch den Angreifer abstürzt.
Anzeige
Die Analyse des Core Dump von "vmdird" durch Mandiant und VMware Product Security ergab, dass der Prozessabsturz eng mit der Ausnutzung von CVE-2023-34048 zusammenhängt. Das ist eine im Oktober 2023 gepatchte Out-of-Bounds-Write-Schwachstelle von vCenter in der Implementierung des DCE/RPC-Protokolls, die eine nicht authentifizierte Remote-Befehlsausführung auf anfälligen Systemen ermöglicht.
Obwohl die Schwachstelle im Oktober 2023 öffentlich bekannt gegeben und gepatcht wurde, konnte Mandiant diese Abstürze in mehreren Fällen von UNC3886-Infektionen auf den Zeitraum zwischen Ende 2021 und Anfang 2022 eingrenzen. Es gibt also ein Zeitfenster von etwa anderthalb Jahren, in dem der Angreifer Zugang zu dieser Schwachstelle hatte.
In den meisten Umgebungen, in denen diese Abstürze beobachtet wurden, blieben die Protokolleinträge erhalten, aber die "vmdird"-Core-Dumps selbst wurden entfernt. Die Standardkonfigurationen von VMware bewahren Core-Dumps für eine unbestimmte Zeit auf dem System auf, was darauf schließen lässt, dass die Core-Dumps vom Angreifer absichtlich entfernt wurden, um seine Spuren zu verwischen.
Mandiant empfiehlt, die vorhandenen vCenter Server-Installationen auf die neue Version zu aktualisieren. Details lassen sich dem betreffenden Blog-Beitrag entnehmen.
Ähnliche Artikel:
Cyber-News: Helmholtz Zentrum Berlin, Barracuda-Schwachstelle, VMware-Schwachstelle etc.
VMware schließt Schwachstellen in vCenter Server (22. Juni 2023)
Anzeige
Ein erneutes Sicheheitsfiasko dieses Unternehmens. Dass die noch nicht pleite sind, sondern für einen utopischen Betrag sogar noch einen Käufer finden konnten, erstaunt mich tagtäglich.
Und das es anscheinend immer noch genug Firmen gibt, die Managementinterfaces bzw. Systeme nicht entsprechend abschotten erschreckt mich fast mehr als die Lücke. Die chinesischen Hacker sind ja mit Sicherheit nicht lokal vor Ort in die Kisten eingebrochen, die waren im Zweifel direkt aus dem Internet erreichbar, weil ist ja dann bequemer.
Der Vcenter und die Hosts gehören in ein getrenntes Managementnetz, wo nur die drauf zugreifen können, die es unbedingt müssen. Der normale User muss damit nicht interagieren können und das Internet erst recht nicht.
Aber dann können die Admins doch nicht mehr bequem aus der Ferne monitoren und administrieren…