VMware es una empresa líder en el sector de la virtualización, que ofrece soluciones para crear, gestionar y ejecutar aplicaciones en entornos virtuales. Sin embargo, estas soluciones también pueden ser objetivo de los ciberataques, especialmente si presentan vulnerabilidades que los hackers pueden aprovechar.
En este artículo, explicaremos cómo un grupo de hackers chinos, conocido como UNC3886, explotó una vulnerabilidad crítica de VMware vCenter Server durante dos años sin ser detectados, y qué consecuencias tuvo este ataque para las organizaciones afectadas.
Un grupo de ciberespionaje avanzado con nexos en China, conocido por explotar vulnerabilidades en dispositivos VMware y Fortinet, ha sido identificado abusando de una falla crítica en VMware vCenter Server como una vulnerabilidad de día cero desde finales de 2021.
"UNC3886 ha demostrado su habilidad para usar vulnerabilidades de día cero en operaciones encubiertas, y este último caso es un ejemplo más", indicó Mandiant, ahora parte de Google, en un informe reciente.
La vulnerabilidad, identificada como CVE-2023-34048 (puntuación CVSS: 9,8), permite ejecución remota de código y fue corregida por Broadcom, propietaria de VMware, el 24 de octubre de 2023. Esta semana, VMware confirmó que CVE-2023-34048 ha sido explotada activamente. UNC3886, descubierto en septiembre de 2022, utilizaba vulnerabilidades desconocidas en VMware para instalar backdoors en sistemas Windows y Linux, empleando malware como VIRTUALPITA y VIRTUALPIE.
Te podrá interesar: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
Mandiant reveló que CVE-2023-34048 fue la vulnerabilidad de día cero usada por este grupo para acceder a sistemas vCenter, enumerar hosts ESXi y sus máquinas virtuales conectadas. El ataque continúa con la recuperación de credenciales "vpxuser" para instalar malware en los hosts, permitiendo así conexiones directas a estos. Este método facilita la explotación de otra falla en VMware (CVE-2023-20867, puntuación CVSS: 3.9) para ejecutar comandos y transferir archivos entre máquinas virtuales y un host ESXi comprometido, como Mandiant informó en junio de 2023.
Se aconseja a los usuarios de VMware vCenter Server actualizar a la versión más reciente para mitigar riesgos.
Además, en años recientes, UNC3886 explotó la falla CVE-2022-41328 (puntuación CVSS: 6,5) en Fortinet FortiOS, para instalar implantes THINCRUST y CASTLETAP, permitiendo la ejecución de comandos remotos y la filtración de datos.
Estos ataques se centran en tecnologías de firewall y virtualización, aprovechando la falta de soporte para soluciones de detección y respuesta en endpoints (EDR), lo que les permite permanecer ocultos en los entornos objetivo por largos períodos.
Conoce más sobre: Supervisión de VMware con Site24x7
Para protegerse de este tipo de ataques, lo más importante es mantener actualizados los sistemas y aplicaciones que se utilizan, y aplicar los parches de seguridad tan pronto como estén disponibles. Además, se recomienda seguir las mejores prácticas de seguridad, como:
Te podrá interesar: ¿Tu software está al día?: Importancia de los Parches
El reciente ataque de hackers chinos es un recordatorio de que la ciberseguridad es un campo en constante evolución. Las organizaciones y los individuos deben permanecer vigilantes y actualizar continuamente sus estrategias de seguridad para protegerse contra estas amenazas emergentes.
Es esencial que todos los actores en el espacio digital, desde individuos hasta grandes corporaciones, tomen medidas proactivas para mejorar su postura de seguridad. Esto incluye mantenerse informado sobre las últimas tendencias en ciberseguridad, implementar prácticas recomendadas de seguridad y colaborar con expertos en seguridad para mantenerse un paso adelante de los ciberdelincuentes.