Een zerodaylek in VMware vCenter Server, een oplossing voor het beheer van virtual machines en gevirtualiseerde servers,  waardoor het mogelijk is om kwetsbare systemen over te nemen is anderhalf lang onopgemerkt door een Chinese spionagegroep misbruikt, zo claimt securitybedrijf Mandiant.

De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft.

VMware kwam eind oktober vorig jaar met een beveiligingsupdate voor de kwetsbaarheid (CVE-2023-34048) en liet deze week weten dat aanvallers er actief misbruik van maken. Volgens Mandiant heeft een vanuit China opererende spionagegroep sinds eind 2021 misbruik van het beveiligingslek gemaakt om vCenter-servers van een backdoor te voorzien.

Via de gecompromitteerde vCenter-server worden vervolgens inloggegevens voor gekoppelde ESXi-hosts gestolen waarmee toegang tot de ESXi-host verkregen wordt. Vervolgens gebruikten de aanvallers een ander zerodaylek om ongeauthenticeerde commando's en bestandsuitwisseling op de geïnstalleerde guest virtual machines uit te voeren. Normaliter zijn inloggegevens vereist om toegang tot de guest virtual machine te krijgen. Via zeroday CVE-2023-20867, een "authentication bypass", is deze controle te omzeilen. Daarnaast zorgt de aanval ervoor dat er geen acties op de ESXi-host of de guest virtual machine worden gelogd.

Alles bij de bron; Security