# CVE-2023-34048 > [!critical] RCE Crítico no VMware vCenter - Explorado pelo Grupo UNC3886 > Vulnerabilidade crítica de escrita fora dos limites (out-of-bounds write) no protocolo DCERPC do VMware vCenter Server, com exploração ativa confirmada pelo grupo de espionagem **UNC3886** associado à China. ## Visão Geral A [[cve-2023-34048|CVE-2023-34048]] é uma vulnerabilidade crítica de escrita fora dos limites (out-of-bounds write) no protocolo DCERPC do VMware vCenter Server. Com CVSS 9.8, a falha permite que um atacante remoto não autenticado execute código arbitrário com os privilégios mais elevados no servidor vCenter — o sistema central de gerenciamento de infraestrutura VMware. A Mandiant confirmou que o grupo de espionagem **UNC3886**, com nexo à China, explorou ativamente esta vulnerabilidade como zero-day antes da públicação do patch. O grupo utiliza vCenter comprometido como ponto de pivô para mover-se lateralmente por toda a infraestrutura virtualizada da vítima, comprometendo VMs de produção, sistemas de backup e infraestrutura crítica. O VMware vCenter é onipresente em datacenters corporativos e governamentais brasileiros e latino-americanos. Um comprometimento do vCenter equivale essencialmente ao comprometimento total do datacenter virtualizado — dando ao atacante controle sobre todas as VMs hospedadas. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | VMware vCenter Server | | Componente | Implementação do protocolo DCERPC | | Tipo | Out-of-Bounds Write | | Acesso Necessário | Nenhum (pré-autenticação) | | Impacto | RCE como usuário privilegiado | | CVSS Base | 9.8 (CRÍTICO) | ## Versões Afetadas e Patches | Produto | Versão Vulnerável | Versão Corrigida | |---------|------------------|-----------------| | vCenter Server 8.0 | 8.0, 8.0U1 | 8.0U2 | | vCenter Server 7.0 | Todas < 7.0U3o | 7.0U3o | | Cloud Foundation 5.x | Afetado | KB88287 | | Cloud Foundation 4.x | Afetado | KB88287 | ## TTPs Relacionados (UNC3886) - [[t1190-exploit-public-facing-application|T1190]] - Exploração de Aplicação Pública - [[t1021-001-rdp|T1021]] - Serviços Remotos - [[t1078-valid-accounts|T1078]] - Contas Válidas - [[t1055-process-injection|T1055]] - Injeção de Processo ## Mitigação - Aplicar patches VMware imediatamente — prioridade máxima em datacenters - Restringir acesso à porta de gerenciamento do vCenter (443, 9443) por rede - Habilitar autenticação multifator no vCenter SSO - Monitorar autenticações anômalas e processos incomuns no host vCenter - Revisar logs de auditoria do vCenter por atividade suspeita pós-comprometimento > [!latam] Relevância para Brasil e LATAM > VMware vCenter é a plataforma de virtualização dominante em datacenters corporativos e governamentais brasileiros. O grupo UNC3886 foca em espionagem estratégica de longo prazo e tem comprometido organizações globais por meses antes de ser detectado. Organizações com vCenter sem patch devem considerar realizar análise forense do ambiente para identificar possível comprometimento retroativo. ## Referências - [Mandiant - UNC3886 vCenter exploitation](https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-temporary-persistence) - [VMware Advisory VMSA-2023-0023](https://www.vmware.com/security/advisories/VMSA-2023-0023.html) - [NVD - CVE-2023-34048](https://nvd.nist.gov/vuln/detail/CVE-2023-34048)