Mandiant : nouvelle vulnérabilité 0-day de VMware ESXi utilisée par une APT chinoise

VMware a déclaré que la vulnérabilité d’ESXi était d’une « faible gravité » malgré son exploitation active, car celle-ci nécessite que l’attaquant ait déjà accès à un compte à privilèges sur le système ciblé.

Mandiant a découvert une nouvelle vulnérabilité inédite affectant l’hyperviseur VMware ESXi, actuellement exploitée par un acteur de menace étatique chinois.

La société de réponse aux incidents filiale de Google Cloud a déclaré que la vulnérabilité est exploitée par un groupe de menace persistante avancée chinois que Mandiant désigne sous la référence « UNC3886 ». VMware a indiqué dans son avis de sécurité que la vulnérabilité, référencée CVE-2023-20867, consiste en un contournement d’authentification qui peut être exploité, lorsqu’un hôte ESXi entièrement compromis est à même de forcer VMware Tools à échouer dans l’authentification des opérations hôte-à-invité, affectant ainsi la confidentialité et l’intégrité de la machine virtuelle invitée.

Mandiant a déclaré dans un billet que pour exploiter la vulnérabilité, l’attaquant doit avoir accès à un compte à privilèges sur l’hôte ESXi, et la machine cible doit avoir installé l’application de gestion de logiciels VMware Tools.

Une fois que l’attaquant a accès à un compte à privilèges, la vulnérabilité inédite référencée CVE-2023-20867 permet à l’attaquant d’exécuter des actions privilégiées sur un hôte ESXi compromis sans nécessiter d’authentification. De plus, selon Mandiant, « aucun événement de journalisation n’est généré par défaut lorsque la CVE-2023-20867 est exploitée avec succès », ce qui est susceptible d’entraver, ou à tout le pénaliser, le processus de réponse à l’incident.

Les clients de VMware peuvent corriger la vulnérabilité en mettant à jour leur instance de VMware Tools vers la version 12.2.5.

Malgré l’utilisation continue de la vulnérabilité inédite dans des attaques ciblées, VMware lui a attribué une faible gravité avec un score CVSS v3 de 3,9, du fait du prérequis d’exploitation : avoir déjà accès à un compte à privilèges ».

Mandiant décrit UNC3886 comme un groupe de cyber-espionnage chinois « très habile » qui « a principalement ciblé des organisations de défense, de technologie et de télécommunications situées aux États-Unis et dans la région APJ [Asie-Pacifique] ». Et d’ajouter que l’acteur avait précédemment ciblé des victimes via des vulnérabilités inédites dans des produits de pare-feu et de virtualisation, et qu’il « continue de cibler des appareils et des plates-formes qui manquent traditionnellement de solutions EDR [détection et réponse des points de terminaison] et utilise des exploits inédits sur ces plates-formes ».

Pour approfondir sur Cyberdéfense

Close