El grupo de ciberdelincuentes UNC3886, originario de China, está llevando a cabo ataques activos utilizando una vulnerabilidad Zero-day en los hosts de VMware ESXi. El objetivo de estos ataques es infiltrar puertas traseras en sistemas operativos Windows y Linux.
La vulnerabilidad de autenticación en VMware Tools, identificada como CVE-2023-20867 (con una puntuación CVSS: 3.9), permite la ejecución de comandos con privilegios en sistemas operativos Windows, Linux y PhotonOS (vCenter) sin necesidad de autenticación de credenciales en los sistemas operativos invitados. Esto se logra desde un host ESXi comprometido y sin registro predeterminado en los sistemas operativos invitados.
