![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Kurzer R\u00fcckblick auf ein \"sterbendes Thema\". In VMware vScenter Server gab es eine Schwachstelle CVE-2023-34048, die im Oktober 2023 durch einen Patch geschlossen wurde. Die Sicherheitspezialisten von Mandiant sind zusammen mit der VMware Product Security zur Erkenntnis gelangt, dass die chinesische Spionagegruppe UNC3886 die vCenter-Schwachstelle CVE-2023-34048 seit Ende 2021 ausgenutzt hat.<\/p>\n
<\/p>\n
Die Mandiant-Forscher sind \u00fcber eine Infektion auf die gesamte Angriffskette innerhalb des VMware-\u00d6kosystems (d. h. vCenter, ESXi-Hypervisoren, virtualisierte Gastmaschinen) auf den Sachverhalt gesto\u00dfen. Als sie den Angriff im Hinblick auf hinterlassene Hintert\u00fcren durchsuchten, stie\u00dfen sie auf Angreiferaktivit\u00e4ten in vCenter-Systemen, die bis Ende 2021 zur\u00fcck reichten. <\/p>\n Ende 2023 wurde auf den betroffenen vCenter-Systemen eine \u00c4hnlichkeit festgestellt, die erkl\u00e4rt, wie der Angreifer den ersten Zugang zu den vCenter-Systemen erlangt hat. In den Absturzprotokollen der VMware-Dienste (\/var\/log\/vMonCoredumper.log) lie\u00df sich erkennen, dass der Dienst \"vmdird\" wenige Minuten vor der Bereitstellung der Backdoors durch den Angreifer abst\u00fcrzt.<\/p>\n Die Analyse des Core Dump von \"vmdird\" durch Mandiant und VMware Product Security ergab, dass der Prozessabsturz eng mit der Ausnutzung von CVE-2023-34048 zusammenh\u00e4ngt. Das ist eine im Oktober 2023 gepatchte Out-of-Bounds-Write-Schwachstelle von vCenter in der Implementierung des DCE\/RPC-Protokolls, die eine nicht authentifizierte Remote-Befehlsausf\u00fchrung auf anf\u00e4lligen Systemen erm\u00f6glicht.<\/p>\n Obwohl die Schwachstelle im Oktober 2023 \u00f6ffentlich bekannt gegeben und gepatcht wurde, konnte Mandiant diese Abst\u00fcrze in mehreren F\u00e4llen von UNC3886-Infektionen auf den Zeitraum zwischen Ende 2021 und Anfang 2022 eingrenzen. Es gibt also ein Zeitfenster von etwa anderthalb Jahren, in dem der Angreifer Zugang zu dieser Schwachstelle hatte. <\/p>\n In den meisten Umgebungen, in denen diese Abst\u00fcrze beobachtet wurden, blieben die Protokolleintr\u00e4ge erhalten, aber die \"vmdird\"-Core-Dumps selbst wurden entfernt. Die Standardkonfigurationen von VMware bewahren Core-Dumps f\u00fcr eine unbestimmte Zeit auf dem System auf, was darauf schlie\u00dfen l\u00e4sst, dass die Core-Dumps vom Angreifer absichtlich entfernt wurden, um seine Spuren zu verwischen.<\/p>\n Mandiant empfiehlt, die vorhandenen vCenter Server-Installationen auf die neue Version zu aktualisieren. Details lassen sich dem betreffenden Blog-Beitrag entnehmen. <\/p>\n \u00c4hnliche Artikel:<\/strong> [English]Kurzer R\u00fcckblick auf ein \"sterbendes Thema\". In VMware vScenter Server gab es eine Schwachstelle CVE-2023-34048, die im Oktober 2023 durch einen Patch geschlossen wurde. Die Sicherheitspezialisten von Mandiant sind zusammen mit der VMware Product Security zur Erkenntnis gelangt, dass die … Weiterlesen Die Sicherheitsforscher von Mandiant haben ihre Erkenntnisse bereits zum 19. Januar 2024 in einem Blog-Beitrag Chinese Espionage Group UNC3886 Found Exploiting CVE-2023-34048 Since Late 2021<\/a> ver\u00f6ffentlicht. Ist mir durch nachfolgenden Tweet wieder in Erinnerung gekommen.<\/p>\n
![\"Hacking](\"https:\/\/i.postimg.cc\/0QW17781\/image.png\"\/ "\\"Hacking")
<\/a><\/p>\n
Cyber-News: Helmholtz Zentrum Berlin, Barracuda-Schwachstelle, VMware-Schwachstelle etc.<\/a>
VMware schlie\u00dft Schwachstellen in vCenter Server (22. Juni 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"