Une vulnérabilité de VMware à l’automne… déjà exploitée en 2021

Une vulnérabilité critique de VMware, corrigée en octobre dernier, a été exploitée dans la nature il y a deux ans par un acteur chinois, selon un nouveau rapport de Mandiant.

Le 25 octobre, VMware levait le voie sur une vulnérabilité d’écriture hors limites (CVE-2023-34048) et une faille de divulgation partielle d’informations (CVE-2023-34056) affectant vCenter Server. L’éditeur avertissait alors que l’exploitation de la première vulnérabilité, qui a reçu un score CVSS de 9,8, pourrait permettre à un attaquant d’exécuter du code à distance sur les machines vulnérables. VMware a remercié Grigory Dorodnov, chercheur en vulnérabilités au sein de l’initiative Zero Day de Trend Micro, pour avoir signalé ces problèmes.

La semaine dernière, VMware a mis à jour l’avis avec de nouvelles informations, avertissant les clients que la vulnérabilité d’écriture hors limites est activement exploitée.

« VMware a confirmé que l’exploitation de CVE-2023-34048 est survenue », écrit VMware dans l’avis de sécurité.

Dans un autre billet de blog publié vendredi, Mandiant a attribué l’exploitation de CVE-2023-34048 à un groupe d’espionnage chinois qu’il suit sous la référence de UNC3886. Plus inquiétant encore : les chercheurs, ainsi que le service de sécurité des produits de VMware, ont découvert que l’exploitation remontait à la fin de l’année 2021. UNC3886 est connu pour exploiter des vulnérabilités inédites dans le cadre de ses techniques d’évasion et pour cibler des technologies qui ne sont généralement pas dotées d’EDR.

L’une de ces failles de type 0day est la CVE-2023-20867, une vulnérabilité de contournement d’authentification dans VMware Tools qui affecte l’hyperviseur ESXi de l’éditeur. Mandiant a découvert cette vulnérabilité lors d’une enquête sur une nouvelle famille de logiciels malveillants visant les produits VMware.

Au cours d’une enquête sur les techniques d’évasion de l’acteur impliqué dans ces attaques, les chercheurs ont découvert que des portes dérobées avaient été déployées dans les systèmes vCenter compromis. Mais il a fallu du temps pour trouver le vecteur d’attaque. Fin 2023, Mandiant a découvert des preuves de l’exploitation de CVE-2023-34048 dans les journaux d’incidents de service des systèmes vCenter affectés.

« Bien qu’elle ait été signalée publiquement et corrigée en octobre 2023, Mandiant a observé ces plantages dans plusieurs cas de UNC3886 entre fin 2021 et début 2022, ce qui laisse une fenêtre d’environ un an et demi pendant laquelle cet attaquant a eu accès à cette vulnérabilité », écrivent les chercheurs de Mandiant dans le billet de blog.

Mandiant indique que la plupart des environnements présentant ces types de pannes avaient des entrées de journal intactes, mais que les core dumps VMware eux-mêmes avaient été supprimés : « les configurations par défaut de VMware conservent les core dumps pendant une durée indéterminée sur le système, ce qui suggère que les core dumps ont été volontairement supprimés par l’attaquant pour tenter de brouiller les pistes », écrivent les chercheurs.

Il n’est pas ouvertement précisé si l’activité d’exploitation mentionnée par VMware se réfère uniquement à l’exploitation passée par UNC3886.