2023年10月修正の「vCenter」脆弱性、2021年後半には悪用か

Mandiantは、2023年10月に修正されたサーバ管理製品「VMware vCenter Server」の脆弱性「CVE-2023-34048」が、少なくとも2021年後半より悪用されていたことを明らかにした。

中国より支援を受け、スパイ活動を展開する攻撃グループ「UNC3886」によって同脆弱性が悪用されていたことを明らかにしたもの。同グループは、少なくとも2021年後半ごろより、2023年10月に脆弱性が修正されるまで、1年半以上にわたって悪用していたものと見られる。

同社では「VMware Tools」の脆弱性「CVE-2023-20867」が「UNC3886」によって悪用されていることを発見。2023年6月にVMwareへ報告したが、「VMware vCenter Server」にバックドアが設置された背景について調査する過程で「CVE-2023-34048」が悪用されていたことがあらたに判明したという。

侵害されたシステムでは、特定のサービスがクラッシュしている類似性が存在しており、「CVE-2023-34048」の悪用が影響していることがわかった。

「UNC3886」が2021年後半から2022年初頭にかけて展開した複数のケースで、ログから同様のクラッシュが確認されているが、隠蔽のためか攻撃者によって攻撃の痕跡となるメモリのダンプ情報が消去されていた。

（Security NEXT - 2024/01/23 ） ツイート

PR

関連記事

「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
県サイト資料に非公開の個人情報、マスキング未処理 - 静岡県
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園
自治体委託イベントの申込フォームに不備 - 個人情報が閲覧可能に
サイバー攻撃被害が判明、内部情報へアクセスされた痕跡 - BBT
個人情報含む記憶媒体紛失、教諭2人を懲戒処分 - 北海道
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局
「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明