VMware a corrigé aujourd’hui une vulnérabilité zero-day de VMware ESXi exploitée par un groupe de pirates parrainé par la Chine pour ouvrir une porte dérobée sur des machines virtuelles Windows et Linux et voler des données.
Le groupe de cyberespionnage – repéré sous le nom de UNC3886 par la société de cybersécurité Mandiant qui a découvert les attaques – a utilisé la faille CVE-2023-20867 de contournement de l’authentification de VMware Tools pour déployer les portes dérobées VirtualPita et VirtualPie sur des machines virtuelles invitées à partir d’hôtes ESXi compromis, où ils ont escaladé leurs privilèges jusqu’à l’utilisateur final.
«Un hôte ESXi totalement compromis peut forcer VMware Tools à ne pas authentifier les opérations entre hôtes, ce qui a un impact sur la confidentialité et l’intégrité de la machine virtuelle invitée», a déclaré VMware dans l’avis de sécurité publié aujourd’hui.
Les attaquants ont installé la porte dérobée à l’aide de paquets d’installation vSphere malveillants, conçus pour aider les administrateurs à créer et à maintenir des images ESXi.
Une troisième souche de logiciels malveillants, repérée par Mandiant au cours de l’enquête, agissait comme un dropper à mémoire seule qui désobfusquait les charges utiles DLL de deuxième niveau sur les machines virtuelles détournées. «Ce canal de communication ouvert entre l’invité et l’hôte, où chaque rôle peut agir en tant que client ou serveur, a permis un nouveau moyen de persistance pour regagner l’accès sur un hôte ESXi backdoored tant qu’une porte dérobée est déployée et que l’attaquant obtient l’accès initial à n’importe quelle machine invitée», a déclaré Mandiant.
En mars, Mandiant a également révélé que les pirates chinois UNC3886 avaient exploité une vulnérabilité zero-day dans le cadre de la même campagne de mi-2022 pour compromettre les dispositifs de pare-feu FortiGate et déployer les portes dérobées Castletap et Thincrust, jusqu’alors inconnues.
