- A Dell corrigiu uma falha fatal no RecoverPoint para máquinas virtuais causada por credenciais codificadas
- Tem sido explorado como dia zero desde meados de 2024 pela equipe UNC6201 patrocinada pelo estado chinês
- Os invasores implantaram o novo backdoor Grimbolt e usaram a nova técnica “Ghost NICs” para movimentos furtivos e laterais
Os agentes de ameaças patrocinados pelo Estado chinês têm abusado de uma vulnerabilidade bastante embaraçosa num produto Dell há quase dois anos, dizem os especialistas.
Em um comunicado de segurança, a Dell disse que seu RecoverPoint for Virtual Machines tinha uma falha de credencial embutida em código.
O RecoverPoint for Virtual Machines (RP4VM) é uma solução de proteção de dados e recuperação de desastres projetada para ambientes virtualizados, especialmente VMware vSphere e Microsoft Hyper-V. Durante a construção, um desenvolvedor deixou credenciais de login no código, provavelmente para que o produto pudesse ser lançado e testado rapidamente.
Exploração ativa limitada
Normalmente, os desenvolvedores revisariam o código antes de enviar o produto e removeriam todos os vestígios de credenciais codificadas. No entanto, às vezes são ignorados ou deixados despercebidos, deixando um buraco enorme para os cibercriminosos explorarem.
Agora, a Dell diz que todas as versões anteriores à 6.0.3.1 HF1 tinham credenciais codificadas – uma vulnerabilidade crítica porque “um invasor remoto não autenticado com conhecimento da credencial codificada poderia explorar esta vulnerabilidade para obter acesso não autorizado ao sistema operacional subjacente e persistência no nível raiz”.
Para piorar a situação, os pesquisadores de segurança do Google e da Mandiant alertaram a Dell que há “exploração ativa limitada” do bug. Ambas as empresas afirmam que exploram a falha, como dia zero, desde meados de 2024, ou seja, mais de um ano e meio.
O grupo que explora esse bug permanece como UNC6201. Este não é um grupo conhecido como APT41 ou Silk Typhoon, mas é perigoso. Na verdade, os pesquisadores disseram que o grupo implantou várias cargas de malware, incluindo um novo backdoor chamado Grimbolt, construído em C# usando uma nova técnica de compilação que tornou a engenharia reversa mais rápida e mais difícil do que as ferramentas anteriores.
Os pesquisadores também disseram que o UNC6201 usou novas técnicas de movimento lateral e furtividade:
“O UNC6201 usa portas de rede virtuais temporárias (também conhecidas como ‘Ghost NICs’) para fazer a transição de VMs comprometidas para ambientes internos ou SaaS, uma nova técnica que a Mandiant nunca viu antes em pesquisas”, disse Mandiant. BipandoComputador. “Consistente com a campanha BRICKSTORM anterior, o UNC6201 continua a ter como alvo ferramentas que normalmente não possuem agentes tradicionais de detecção e resposta de endpoint (EDR) para permanecerem sem serem detectadas por longos períodos de tempo.”
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
