보안 공부 회고록
CVE-2023-34048 뉴스 스크랩 본문
보안뉴스를 읽다가 아래의 기사를 찾았다.
2024-01-23 15:18 문가용 기자가 작성한 기사이다.
https://www.boannews.com/media/view.asp?idx=126006&page=1&kind=1
중국의 해커들, VM웨어의 초고위험도 취약점을 2년이나 몰래 익스플로잇 해
최근 VM웨어에서 발견된 심각한 취약점을 중국 APT 단체가 최소 2년 동안 몰래 익스플로잇 해왔다는 사실이 드러나며 충격을 주고 있다. 사실이 드러난 건 지난 10월. VM웨어의 브이센터서버(vCenter
www.boannews.com
영향을 받는 제품은 VMware vCenter Server와 VMware Cloud Foundation이다.
기사에 따르면 일련의 공격 사슬이 다음과 같을 것으로 추측된다고 한다. (mandiant가 그렇게 밝혔다고 한다)
1) CVE-2023-34048을 익스플로잇 해서 원격 코드 실행 권한을 갖춘다.
2) 피해자 조직의 크리덴셜들을 훔친다.
3) 크리덴셜을 바탕으로 ESXi 호스트들을 침해한다.
4) ESXi 호스트와 연결된 vCenter Server를 침해한다.
5) 백도어를 서버에 심는다.
6) CVE-2023-20867을 익스플로잇 한다.
일단 VMware사에서 패치를 배포하고 있다고 한다.
영향받는 제품군의 버전을 확인해서 패치를 적용하는게 좋을 것 같다.
https://nvd.nist.gov/vuln/detail/CVE-2023-34048
NVD - CVE-2023-34048
References to Advisories, Solutions, and Tools By selecting these links, you will be leaving NIST webspace. We have provided these links to other web sites because they may have information that would be of interest to you. No inferences should be drawn on
nvd.nist.gov
https://www.vmware.com/security/advisories/VMSA-2023-0023.html
VMSA-2023-0023.1
VMware vCenter Server updates address out-of-bounds write and information disclosure vulnerabilities
www.vmware.com