Kit d’évasion de VM VMware ESXi exploité via SonicWall, actif avant la divulgation des failles
Selon BleepingComputer (article de Bill Toulas), s’appuyant sur une analyse de Huntress, des acteurs de la menace sino-phones ont utilisé un équipement VPN SonicWall compromis pour livrer un kit d’exploit permettant une évasion de machine virtuelle sur VMware ESXi, potentiellement un an avant la divulgation publique des vulnérabilités visées. Nature de l’attaque : chaîne d’exploits d’« évasion de VM » contre VMware ESXi depuis une VM invitée vers l’hyperviseur, avec déploiement d’un backdoor VSOCK sur l’hôte ESXi. 🚨 Point d’entrée : VPN SonicWall compromis, pivot avec un compte Domain Admin, RDP vers des contrôleurs de domaine, préparation d’exfiltration, puis exécution de la chaîne d’exploit. Cible pressentie : ESXi 8.0 Update 3 (indice dans les chemins de build). Des éléments en chinois simplifié et un README en anglais suggèrent un développement modulaire potentiellement destiné à être partagé/vendu. Vulnérabilités impliquées (corrélées par le comportement observé, sans confirmation absolue) : ...