- Dell menambal kelemahan kritis di RecoverPoint untuk Mesin Virtual yang disebabkan oleh kredensial hardcode
- Dieksploitasi sebagai zero-day sejak pertengahan tahun 2024 oleh kelompok UNC6201 yang disponsori negara Tiongkok
- Penyerang mengerahkan pintu belakang Grimbolt baru dan menggunakan teknik baru “Ghost NIC” untuk gerakan sembunyi-sembunyi dan lateral
Pelaku ancaman yang disponsori negara Tiongkok telah menyalahgunakan kerentanan yang agak memalukan di a Dell produk selama hampir dua tahun, klaim para ahli.
Dalam nasihat keamanannya, Dell mengatakan RecoverPoint untuk Mesin Virtualnya mengandung kelemahan kredensial yang dikodekan secara keras.
RecoverPoint for Virtual Machines (RP4VM) adalah solusi perlindungan data dan pemulihan bencana yang dirancang untuk lingkungan tervirtualisasi, terutama VMware vSphere dan Microsoft Hiper-V. Saat sedang dibangun, pengembang meninggalkan kredensial login dalam kode, kemungkinan besar agar dapat login dengan cepat dan menguji produk.
Eksploitasi aktif terbatas
Biasanya, pengembang akan menyaring kode sebelum mengirimkan produk dan menghapus semua jejak kredensial hardcode. Namun, terkadang hal-hal tersebut dilupakan, atau dibiarkan, sehingga meninggalkan lubang besar yang dapat dieksploitasi oleh penjahat dunia maya.
Sekarang, Dell mengatakan bahwa semua versi sebelum 6.0.3.1 HF1 berisi kredensial hardcoded – sebuah kerentanan kritis karena “penyerang jarak jauh yang tidak diautentikasi dengan pengetahuan tentang kredensial hardcoded berpotensi mengeksploitasi kerentanan ini yang mengarah ke akses tidak sah ke file yang mendasarinya. sistem operasi dan ketekunan di tingkat akar.”
Lebih buruk lagi, peneliti keamanan dari Google dan Mandiant telah memperingatkan Dell tentang “eksploitasi aktif terbatas” atas kelemahan tersebut. Kedua perusahaan tersebut mengatakan bahwa bug tersebut telah dieksploitasi, sebagai zero-day, sejak pertengahan tahun 2024, yang berarti mereka telah menggunakannya selama lebih dari satu setengah tahun.
Kelompok yang tampaknya mengeksploitasi bug ini dilacak sebagai UNC6201. Ini bukan kelompok yang dikenal secara luas, seperti APT41 atau Silk Typhoon, namun sama-sama berbahaya. Faktanya, para peneliti mengatakan kelompok tersebut mengerahkan banyak orang perangkat lunak perusak muatan, termasuk pintu belakang baru yang disebut Grimbolt, dibangun di C# menggunakan teknik kompilasi baru yang membuatnya lebih cepat dan lebih sulit untuk melakukan rekayasa balik dibandingkan alat sebelumnya.
Para peneliti juga mengatakan UNC6201 menggunakan teknik baru untuk gerakan lateral dan sembunyi-sembunyi:
“UNC6201 menggunakan port jaringan virtual sementara (AKA “Ghost NIC”) untuk beralih dari VM yang disusupi ke lingkungan internal atau SaaS, sebuah teknik baru yang belum pernah diamati Mandiant sebelumnya dalam penyelidikan mereka,” kata Mandiant. BleepingComputer. “Konsisten dengan kampanye BRICKSTORM sebelumnya, UNC6201 terus menargetkan peralatan yang biasanya tidak memiliki agen deteksi dan respons titik akhir (EDR) tradisional agar tetap tidak terdeteksi dalam jangka waktu lama.”
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
