image

VMware-zerodaylek anderhalf jaar lang door spionagegroep misbruikt

zaterdag 20 januari 2024, 09:04 door Redactie, 13 reacties

Een zerodaylek in VMware vCenter Server waardoor het mogelijk is om kwetsbare systemen over te nemen is anderhalf lang onopgemerkt door een Chinese spionagegroep misbruikt, zo claimt securitybedrijf Mandiant. VMware kwam eind oktober vorig jaar met een beveiligingsupdate voor de kwetsbaarheid (CVE-2023-34048) en liet deze week weten dat aanvallers er actief misbruik van maken. Nu meldt Mandiant dat dit misbruik al sinds eind 2021 plaatsvindt.

VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. De kritieke kwetsbaarheid (CVE-2023-34048) betreft een 'out-of-bounds write' in het DCERPC-protocol, waardoor een aanvaller code op de server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De enige vereiste voor het uitvoeren van een aanval is dat een aanvaller toegang tot de server heeft.

Volgens Mandiant heeft een vanuit China opererende spionagegroep sinds eind 2021 misbruik van het beveiligingslek gemaakt om vCenter-servers van een backdoor te voorzien. Via de gecompromitteerde vCenter-server worden vervolgens inloggegevens voor gekoppelde ESXi-hosts gestolen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden.

Met de gestolen inloggegevens wordt toegang tot de ESXi-host verkregen. Vervolgens gebruikten de aanvallers een ander zerodaylek om ongeauthenticeerde commando's en bestandsuitwisseling op de geïnstalleerde guest virtual machines uit te voeren. Normaliter zijn inloggegevens vereist om toegang tot de guest virtual machine te krijgen. Via zeroday CVE-2023-20867, een "authentication bypass", is deze controle te omzeilen. Daarnaast zorgt de aanval ervoor dat er geen acties op de ESXi-host of de guest virtual machine worden gelogd.

Image

Reacties (13)
21-01-2024, 06:46 door Anoniem
Weten we ook om welke versies Vm ware gaat?
21-01-2024, 11:19 door Anoniem
Door Anoniem: Weten we ook om welke versies Vm ware gaat?
vcenter voor 7.0.3 n
21-01-2024, 12:40 door Anoniem
Door Anoniem:
Door Anoniem: Weten we ook om welke versies Vm ware gaat?
vcenter voor 7.0.3 n

Alles lager dan VMWare vCenter Server 8.0U2, 8.0U1d, 7.0U3o

De vraag is wel of deze 'lekken' niet gewoon backdoors zijn, die toevallig gevonden zijn door derden, waarvan nu de dog-ate-my-homework china nu de schuld krijg... 3 jaar geleden was het de russen, 4 jaar geleden waren het de iraniers...
Geloofwaardigheid van dit alles wordt met de minuut lager..
Zeker lekken die in meer dan 3 generaties zitten lijken me echt 'bedoeld'. Natuurlijk alleen voor de NSA en CIA en vriendjes..
Jammer genoeg voor hen zitten er genoeg niet-vriendjes in deze clubjes en zijn er mensen die deze achterdeuren vinden en voor zichzelf houden...
21-01-2024, 14:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Weten we ook om welke versies Vm ware gaat?
vcenter voor 7.0.3 n

Alles lager dan VMWare vCenter Server 8.0U2, 8.0U1d, 7.0U3o

De vraag is wel of deze 'lekken' niet gewoon backdoors zijn, die toevallig gevonden zijn door derden, waarvan nu de dog-ate-my-homework china nu de schuld krijg... 3 jaar geleden was het de russen, 4 jaar geleden waren het de iraniers...

Je doet dan de bijzondere aanname dat bugvrij programmeren echt lukt, en het DUS een keuze moet zijn om bewust gaten te introduceren.

Je zou zelf kunnen gaan programmeren, en kijken hoeveel steken je zelf laat vallen, en hoe makkelijk je niet ziet dat iets exploitable is.

Op wat grotere schaal :
En het aardige van open source is dat je het hele ontwikkelproces kunt volgen - leef je eens uit, en kijk (terug) in de git repo als er (weer eens) een vulnerability gevonden is - hoe en wanneer die geintroduceerd , wat er in die patch gedaan werd, waarom, welke feature of andere bug het probeerde op te lossen - en uiteindelijk waarom het een vulnerability werd.

Voor VMWare gaat dat niet, maar genoeg andere high profile projecten , met echt goede developers , en natuurlijk de magische 'many eyes' van open source waar ook vulnerabilities in sluipen.
De developers van VMWare zijn echt niet zoveel beter dat het bij hen perfect is behalve als ze het bewust fout doen.

Als je dat kunt - en doet - verzin je een hoop minder paranoide onzin dat vulnerabilities bewust geintroduceerd moeten worden.
21-01-2024, 15:14 door Anoniem
Nooit managementsoftware zoals vCenter, ILO/iDrac, enz aan het internet hangen. Altijd achter een VPN of een Reverseproxy. Of beter nog, alleen op locatie te gebruiken.
21-01-2024, 16:38 door Anoniem
blij dat wij naar proxmox zijn gegaan, zeker sinds het vann broadcom is
22-01-2024, 08:51 door Anoniem
Het is geen probleem om veilige software te maken. Er gewoon geen wil om het te doen, omdat er geen consequenties aan verbonden worden. Dit is een beetje het Ziggo syndrome... Ja, je weet dat het ruk is, maar als je keuze hebt tussen af en toe wat problemen of een snelheid van 3mbps via xDSL of 4/5G, dan is er geen keuze...

Deze, voornamelijk amerikaanse, software boeren, maken een markt, kopen het origineel europeesch product op en hakken alles in stukjes en nemen de patenten mee naar huis als een soort moderne piraat en zorgen voor de masaalheid dat er geen concurentie meer mogelijk is.

Windows is kwalititatief ondergeschikt aan FreeBSD, het is inefficienter, lekken zijn gevaarlijker maar toch draait de halve wereld erop. Dat zegt wel genoeg eigenlijk.

Maar voornamelijk software die aan internet kan hangen vind ik de kwalitiet bedroevend slecht...en dat is niet nodig. Het kost alleen misschien 1% meer om te maken en de kosten van lekken zijn 0.5%, dus is het kosteneffectiever om brakke software uit te leveren.
22-01-2024, 10:41 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Weten we ook om welke versies Vm ware gaat?
vcenter voor 7.0.3 n

Alles lager dan VMWare vCenter Server 8.0U2, 8.0U1d, 7.0U3o

De vraag is wel of deze 'lekken' niet gewoon backdoors zijn, die toevallig gevonden zijn door derden, waarvan nu de dog-ate-my-homework china nu de schuld krijg... 3 jaar geleden was het de russen, 4 jaar geleden waren het de iraniers...
Geloofwaardigheid van dit alles wordt met de minuut lager..
Zeker lekken die in meer dan 3 generaties zitten lijken me echt 'bedoeld'. Natuurlijk alleen voor de NSA en CIA en vriendjes..
Jammer genoeg voor hen zitten er genoeg niet-vriendjes in deze clubjes en zijn er mensen die deze achterdeuren vinden en voor zichzelf houden...

Alleen maar aannames, verdachtmakingen en twijfelzaaierij dit. Met een vleugje whataboutism. Heerlijk complotsoep. ;-)
22-01-2024, 10:44 door Anoniem
22-01-2024, 12:04 door Anoniem
Door Anoniem:
Door Anoniem: Weten we ook om welke versies Vm ware gaat?
vcenter voor 7.0.3 n
Is deze versie op Windows en hun eigen Linux appliance hetzelfde?
22-01-2024, 14:24 door Anoniem
Door Anoniem: Nooit managementsoftware zoals vCenter, ILO/iDrac, enz aan het internet hangen. Altijd achter een VPN of een Reverseproxy. Of beter nog, alleen op locatie te gebruiken.
Yep, volledig mee eens. Nooit direct aan het internet hangen, en niet met alleen een VPN (denk aan avanti / securePuse), maar met nog een stepping stone (beiden incl MFA). Geen 100% garantie, maar wel voor de meeste scenario's die hier voorbij komen.
22-01-2024, 14:41 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Weten we ook om welke versies Vm ware gaat?
vcenter voor 7.0.3 n

Alles lager dan VMWare vCenter Server 8.0U2, 8.0U1d, 7.0U3o

De vraag is wel of deze 'lekken' niet gewoon backdoors zijn, die toevallig gevonden zijn door derden, waarvan nu de dog-ate-my-homework china nu de schuld krijg... 3 jaar geleden was het de russen, 4 jaar geleden waren het de iraniers...
Geloofwaardigheid van dit alles wordt met de minuut lager..
Zeker lekken die in meer dan 3 generaties zitten lijken me echt 'bedoeld'. Natuurlijk alleen voor de NSA en CIA en vriendjes..
Jammer genoeg voor hen zitten er genoeg niet-vriendjes in deze clubjes en zijn er mensen die deze achterdeuren vinden en voor zichzelf houden...

Alleen maar aannames, verdachtmakingen en twijfelzaaierij dit. Met een vleugje whataboutism. Heerlijk complotsoep. ;-)
Het is inderdaad speculatie maar het is geen gekke gedachte in een wereld met sleepwetten, NSA die energiecentrales in andere landen met één beweging kan uitschakelen (zie Snowden speelfilm) en ook die hebben achterdeurtjes nodig, en VMware zijn inderdaad met enige regelmaat in het nieuws wat beveiligingslekken betreft, al geld dat ook voor oa. Qualcomm en andere bedrijven, toch is het niet vergezocht in mijn opinie, vroeger zou het paranoïa zijn, nu is spionage zelfs in Nederland een officiele bevoegdheid.
23-01-2024, 11:39 door Anoniem
Door Anoniem:
Door Anoniem: Nooit managementsoftware zoals vCenter, ILO/iDrac, enz aan het internet hangen. Altijd achter een VPN of een Reverseproxy. Of beter nog, alleen op locatie te gebruiken.
Yep, volledig mee eens. Nooit direct aan het internet hangen, en niet met alleen een VPN (denk aan avanti / securePuse), maar met nog een stepping stone (beiden incl MFA). Geen 100% garantie, maar wel voor de meeste scenario's die hier voorbij komen.
Sterker nog. Ook niet aan een windows netwerk hangen. Gebruik een apart mgt vlan dat alleen bereikbaar is vanaf een Linux desktop.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.