Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Enterprise BusinessLog 320x200 1
970x120
Ataques de hormigas de fuego: cómo un error de vCenter abre la puerta al infierno informático

Ataques de hormigas de fuego: cómo un error de vCenter abre la puerta al infierno informático

Redazione RHC : 28 julio 2025 18:29

Sygnia informa que el vector de ataque inicial de Fire Ant, CVE-2023-34048, explota una vulnerabilidad de escritura fuera de límites en la implementación de vCenter Server del protocolo DCERPC, lo que permite la ejecución remota de código no autenticado. Investigadores de seguridad han identificado fallos sospechosos del proceso ‘vmdird‘ en servidores vCenter, lo que indica la explotación de esta vulnerabilidad crítica.

Tras lograr una vulneración, los actores de amenazas implementan herramientas sofisticadas, incluido el script de código abierto vCenter_GenerateLoginCookie.py, para suplantar las cookies de autenticación y eludir los mecanismos de inicio de sesión. Los atacantes recopilan sistemáticamente las credenciales de vpxuser, que son cuentas del sistema creadas automáticamente por vCenter con privilegios administrativos completos en hosts ESXi.

Este robo de credenciales permite el movimiento lateral en toda la infraestructura de virtualización, ya que las cuentas de vpxuser permanecen exentas de las restricciones del modo de bloqueo. Los actores de amenazas también están explotando CVE-2023-20867, una vulnerabilidad en VMware Tools que permite la ejecución de comandos de host a invitado sin autenticación mediante el cmdlet Invoke-VMScript de PowerCLI.

Capacidades de persistencia y métodos de evasión

Fire Ant demuestra impresionantes capacidades de persistencia mediante múltiples técnicas de implementación de puerta trasera. El grupo instala paquetes de instalación de vSphere (VIB) maliciosos con niveles de aceptación establecidos en «partner» y se distribuyen utilizando el indicador -force para eludir la validación de firmas. Estos VIB maliciosos contienen archivos de configuración que hacen referencia a binarios en la carpeta ‘/bin‘ y scripts personalizados incrustados en ‘/etc/rc.local.d/’ para ejecutarse durante el arranque.

Además, los atacantes implementan una puerta trasera HTTP basada en Python llamada autobackup.bin que se enlaza al puerto 8888 y proporciona capacidades de ejecución remota de comandos. Este malware modifica ‘/etc/rc.local.d/local.sh’ en hosts ESXi para una ejecución persistente. Para evadir aún más la detección, Fire Ant elimina el proceso vmsyslogd, el demonio de syslog nativo de VMware, lo que desactiva eficazmente tanto la escritura de registros locales como el reenvío de registros remotos.

Los actores de amenazas demuestran una sofisticación capacidades de manipulación de red al comprometer los balanceadores de carga F5 a través de la explotación CVE-2022-1388 e implementar webshell en ‘ /usr/local/www/xui/common/css/css.php ‘ para puentear la red. Utilizan el shell web de tunelización Neo-reGeorg en servidores web internos basados en Java e implementan el rootkit Medusa en puntos pivote de Linux para la recolección de credenciales y el acceso persistente.

Fire Ant utiliza comandos netsh portproxy para redireccionar puertos a través de endpoints de confianza, evadiendo eficazmente las listas de control de acceso y las restricciones del firewall. El grupo también aprovecha el tráfico IPv6 para eludir las reglas de filtrado centradas en IPv4, lo que demuestra un profundo conocimiento de los entornos de red de doble pila y las vulnerabilidades de seguridad comunes en las infraestructuras organizacionales.

Las organizaciones deben priorizar urgentemente la protección de sus entornos VMware mediante la aplicación integral de parches y la monitorización avanzada. de la actividad del hipervisor y la implementación de capacidades de detección avanzadas que van más allá de las soluciones tradicionales de seguridad de endpoints.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...

Immagine del sito
HackerHood de RHC revela dos nuevos días cero en productos Zyxel
Di Redazione RHC - 21/10/2025

El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...

Immagine del sito
Vulnerabilidad F5 BIG-IP: ¡266.000 dispositivos en riesgo en todo el mundo! 2.500 en Italia
Di Redazione RHC - 20/10/2025

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...

Immagine del sito
El procesador Intel 386 cumple 40 años: comienza la era de los 32 bits
Di Redazione RHC - 20/10/2025

El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...

Immagine del sito
Intel lanza parches urgentes para la nueva variante de Spectre
Di Redazione RHC - 19/10/2025

Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...