Een zerodaylek in VMware vCenter Server maakt het mogelijk om kwetsbare systemen over te nemen. Volgens securitybedrijf Mandiant wordt er al sinds eind 2021 misbruik van gemaakt.
Patch
VMware bracht oktober vorig jaar een patch uit voor het beveiligingslek CVE-2023-34048. De kwetsbaarheid is een out-of-bounds write in het DCERPC-protocol. Hierdoor kan een aanvaller code op de server uitvoeren. De impact van de kwetsbaarheid is beoordeeld met een 9,8 op een schaal van 1 tot en met 10. Mandiant stelt dat een vanuit China opererende spionagegroep al anderhalf jaar misbruik van het beveiligingslek maakt om vCenter-servers van een backdoor te voorzien.
ESXi-hosts
Via de gecompromitteerde vCenter-server stelen de spionnen inloggegevens voor gekoppelde ESXi-hosts. Via een ander zerodaylek, CVE-2023-20867, voeren de aanvallers vervolgens ongeauthenticeerde commando’s en bestandsuitwisseling uit op de geïnstalleerde guest virtual machines. Tevens zorgt de aanval ervoor dat acties op de ESXi-host of de guest virtual machine niet worden gelogd.
Klik hier voor het bericht van VMware.