資安業者Mandiant揭露中國駭客組織UNC3886的攻擊行動,這些駭客先是取得vCenter伺服器的存取權限,蒐刮所有列管的ESXi明文vpxuser帳密,然後在目標ESXi伺服器上取得root權限,透過惡意的vSphere安裝元件(VIB),部署後門程式VirtualPita、VirtualPie,最終利用零時差漏洞CVE-2023-20867(CVSS風險評分3.9),於虛擬機器(VM)執行未經授權的命令,以及檔案傳輸。
CVE-2023-20867是身分驗證繞過漏洞,攻擊者一旦利用,就會導致VMware Tools無法驗證主機對VM的作業,使得VM的機密性與完整性受到影響,對此,VMware也推出新版VMware Tools予以修補。
|