Um grupo avançado de espionagem cibernética com ligações à China, anteriormente associado à exploração de falhas de segurança em aparelhos VMware e Fortinet, foi vinculado ao abuso de uma vulnerabilidade crítica no VMware vCenter Server como uma zero-day desde o final de 2021.

O grupo, identificado como UNC3886, tem um histórico de utilização de vulnerabilidades zero-day para realizar suas missões sem ser detectado, e este exemplo mais recente demonstra ainda mais suas capacidades, conforme relatado pela Mandiant, uma empresa do Google, em um relatório de sexta-feira. A vulnerabilidade em questão é a CVE-2023-34048 (pontuação CVSS: 9.8), um erro de escrita fora dos limites que pode ser explorado por um ator malicioso com acesso à rede ao vCenter Server.

Ela foi corrigida pela Broadcom, proprietária da VMware, em 24 de outubro de 2023. O provedor de serviços de virtualização atualizou seu aviso no início desta semana para reconhecer que “a exploração da CVE-2023-34048 ocorreu no mundo real”.

O UNC3886 foi identificado pela primeira vez em setembro de 2022, quando foi descoberto utilizando falhas de segurança desconhecidas na VMware para invadir sistemas Windows e Linux, implantando famílias de malware como VIRTUALPITA e VIRTUALPIE.

Os usuários do VMware vCenter Server são aconselhados a atualizar para a versão mais recente para mitigar quaisquer ameaças potenciais. Nos últimos anos, o UNC3886 também aproveitou a CVE-2022-41328 (pontuação CVSS: 6.5), uma falha de travessia de caminho no software Fortinet FortiOS, para implantar os implantes THINCRUST e CASTLETAP para executar comandos arbitrários recebidos de um servidor remoto e exfiltrar dados sensíveis.

Esses ataques visam especificamente tecnologias de firewall e virtualização, devido ao fato de que elas não suportam soluções de detecção e resposta de endpoint (EDR), a fim de persistir em ambientes alvo por longos períodos de tempo.