VMware の脆弱性 CVE-2023-34048:2021年から中国の APT がゼロデイとして悪用

China-Linked Apt UNC3886 Exploits VMware Zero-Day Since 2021

2024/01/19 SecurityAffairs — 中国由来の APT グループ UNC3886 が、遅くとも 2021年後半から、VMware vCenter Server のゼロデイ脆弱性 CVE-2023-34048 を悪用していることが、Mandiant の研究者たちにより報告された。vCenter Server は、VMware の仮想化およびクラウド・コンピューティング・ソフトウェア群の重要なコンポーネントであり、VMware の仮想化データセンターのための、集権的かつ包括的な管理プラットフォームとして機能している。

2023年10月に VMware は、vCenter Server に存在する深刻な境界外書き込みの脆弱性 CVE-2023-34048 (CVSS:9.8) に対処した。その一方で同社は、「2024年1月18日時点で、この脆弱性が野放し状態で悪用されることを認識している」と、2024年1月18日に更新したアドバイザリで述べている。

2023年6月には、サイバースパイ・グループ UNC3886 による、VMware ESXi のゼロデイ脆弱性 CVE-2023-20867 の悪用が、Mandiant の研究者たちにより発見されている。

Mandiant の研究者たちが、このグループの活動に関して初めて詳述したのは、2022年9月に VMware ESXi Hypervisors 内で、新しいマルウェア永続化技術が発見された際だった。

この、マルウェア開発者により開発された手法により、VMware ESXi Hypervisors 内で管理者アクセスが達成され、vCenter サーバーと Windows/Linux 用の仮想マシンの乗っ取りが発生した。

この高度な攻撃が目標とする標的と回避の性質から、中国由来のアクターである UNC3886 により、サイバー・スパイ目的で利用されたものと、専門家たちは考えている。

2022年9月に Mandiant が調査した攻撃では、この脅威アクターは悪意の vSphere Installation Bundles (VIB) を利用することで、2つのバックドア VIRTUALPITA/VIRTUALPIE を ESXi hypervisor にインストールした。VIB は、仮想システムを管理するために設計されたファイルの集合体であり、その用途として挙げられるものには、ESXi マシンの再起動時における、スタートアップ・タスク/カスタム・ファイアウォール・ルールの作成/カスタム・バイナリの展開などがある。

さらに、Mandiant の調査により明らかになったのは、UNC3886 グループが EDR ソリューションを回避して、複数の組織を標的にするために使用した別のテクニックである。

このグループは、vCenter Server アプライアンス上の vPostgreSQL サーバに接続されている、すべての ESXi ホストに対する vCenter Server から、サービス・アカウントの認証情報を採取していたことが確認されている。

この脅威アクターは、ゼロデイ脆弱性 CVE-2023-20867 を悪用し、侵害した ESXi ホストからゲスト資格情報を認証することなく、Windows/Linux/PhotonOS (vCenter) のゲスト VM に対して特権コマンドを実行したが、デフォルト・ログをゲスト VM に記録しない。

なお、脆弱性 CVE-2023-20867 を悪用できるのは、ESXi サーバへのルート・アクセス権を持つ攻撃者のみである。続いて攻撃者は、代替のソケット・アドレス・ファミリーを使用して ESXi ホストにバックドアを展開し、VMCI を使用して横方向の移動を行い、永続性を維持する。

最近の攻撃では、この中国のハッカーが、侵害したシステムのロギング・サービスを変更し、無効化していることも確認されている。

UNC3886 VMware Esxi zero-day

以前の Mandiant は、攻撃者が vCenter システムにバックドアを仕込む方法について、追跡することができずにいた。同社は 2023年後半に、バックドアが展開される数分前に、VMware vmdird サービスがクラッシュしていることを発見した。

Mandiant のレポートには、「VMware Product Security と協力して行った vmdird のコアダンプ分析によると、一連のプロセス・クラッシュは、2023年10月にパッチが適用された DCE/RPC プロトコルの実装における、境界外書き込みの vCenter の脆弱性 CVE-2023-34048 の悪用と一致していた。それにより、脆弱なシステム上で、認証されていないリモート・コマンド実行が可能になっていた」と詳述されている。

Mandiant は、2021年後半〜2022年前半にかけて、複数の UNC3886 侵害のケースでクラッシュを観測している。また、これらのクラッシュが観測された大半の環境において、ログ・エントリは保存されていても、vmdird コアダンプが削除されていたことを、研究者たちは発見した。

Mandiant のレポートは、「VMware のデフォルト設定では、コアダンプはシステム上に無期限に保存されるため、痕跡を消したい攻撃者が、意図的にコアダンプを削除した可能性がある。VMware のアドバイザリで言及されているように、この脆弱性に対しては、vCenter 8.0U2 でパッチが適用されている。VMware ユーザーに対して推奨されるのは、この脆弱性が悪用されることを想定して、vCenter を最新バージョンにアップデートすることである」と締め括っている。

vCenter Server の 脆弱性 CVE-2023-34048 ですが、このブログでは 2023/10/25 の「VMware vCenter Server の脆弱性 CVE-2023-34048 が FIX:サポート終了製品も対象」で取り上げていました。また、お隣のキュレーション・チームに聞いてみたところ、2023年10月26日にレポートをアップしているとのことでした。しかし、それ以前から、中国由来の APT グループ UNC3886 が標的としていたことが判明しました。ご注意ください。