# CVE-2023-20867 > [!medium] Bypass de autenticação no VMware Tools - explorado pelo UNC3886 em espionagem de longo prazo > Vulnerabilidade no VMware Tools permite que um atacante com acesso de root no hypervisor ESXi execute operações nos guest VMs sem autenticação. Explorada pelo grupo de espionagem chinês **UNC3886** como parte de campanha de persistência em ambientes VMware. ## Visão Geral A [[cve-2023-20867|CVE-2023-20867]] é uma vulnerabilidade no VMware Tools que permite a um atacante já comprometido no nível do hypervisor VMware ESXi executar operações privilegiadas nas máquinas virtuais guest sem necessidade de autenticação. Embora o CVSS seja relativamente baixo (3.9) por exigir comprometimento prévio do host, seu impacto real em cenários de espionagem avançada é significativamente maior. O grupo [[g1048-unc3886|UNC3886]], ator de ameaça associado à China especializado em espionagem de longo prazo contra alvos de defesa, telecom e tecnologia, explorou esta CVE como componente de campanha documentada pela Mandiant. A técnica permite que o atacante, após comprometer o hypervisor, mantenha acesso persistente a todos os guest VMs sem precisar de credenciais válidas em cada sistema individual - um vetor ideal para movimentação lateral silenciosa em ambientes de virtualização. Para organizações brasileiras com infraestrutura VMware vSphere, especialmente telecomúnicações, defesa e setor governamental, esta vulnerabilidade representa risco de espionagem persistente que pode passar despercebido por anos. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 3.9 (Low/Medium) | | **Pré-requisito** | Acesso root/admin ao hypervisor ESXi | | **Produto** | VMware Tools (componente do vSphere) | | **Versões afetadas** | VMware Tools < 12.2.5 | | **Patch** | 12.2.5 (13 jun 2023) | | **Vetor** | Guest Authentication Bypass | ## Contexto UNC3886 O UNC3886 utilizou esta CVE em campanha de espionagem documentada: 1. Comprometimento do hypervisor ESXi via outras CVEs VMware 2. Deploy de backdoor no nível do hypervisor (VIRTUALPITA, VIRTUALPIE) 3. Uso da CVE-2023-20867 para executar comandos em VMs guest sem autenticação 4. Exfiltração de dados de múltiplas VMs sem deixar rastros de autenticação nos logs **TTPs relacionados:** [[t1610-deploy-container|T1610]] · [[t1078-valid-accounts|T1078]] · [[t1021-remote-services|T1021]] · [[t1550-use-alternate-authentication-material|T1550]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar VMware Tools em todos os guest VMs para 12.2.5+ - Monitorar operações de VIX/VMCI (mecanismo de comunicação host-guest) - Auditar logs de acesso ao vCenter e ESXi por anomalias **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1026-privileged-account-management|M1026]] · [[m1032-multi-factor-authentication|M1032]] > [!latam] Relevância LATAM > Infraestrutura VMware vSphere é amplamente utilizada em data centers brasileiros, especialmente em telecomúnicações e governo. O **UNC3886** tem foco em setores estratégicos que podem incluir alvos latinoamericanos. Ambientes VMware devem ter VMware Tools atualizado e monitoração de nível hypervisor. ## Referências - [Mandiant - UNC3886 VMware Campaign](https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass) - [VMware Security Advisory VMSA-2023-0013](https://www.vmware.com/security/advisories/VMSA-2023-0013.html)