À la fin de la semaine dernière, des attaquants inconnus ont lancé une attaque de ransomware généralisée frappant les hyperviseurs VMware ESXi via CVE-2021-21974, une vulnérabilité facilement exploitable qui leur permet d’exécuter du code d’exploitation à distance, sans authentification préalable.
Les correctifs pour CVE-2021-21974, une vulnérabilité du service OpenSLP d’ESXi, ont été fourni par VMware il y a deux ans , et cette attaque a révélé combien de serveurs sont encore non corrigés, avec le service SLP toujours en cours d’exécution et le port OpenSLP (427) toujours exposé.
L’attaque est en cours
Le CERT français (CERT-FR) et société française de cloud computing OVH< /a> ont été les premiers à tirer la sonnette d’alarme vendredi soir, affirmant que les attaquants exploitaient CVE-2021-21974 et exhortant les propriétaires de serveurs non corrigés et toujours non affectés à corriger ou désactiver rapidement le service SLP.
Dimanche, l’équipe de réponse aux incidents de sécurité informatique de l’Agence nationale italienne de la cybersécurité (ACN) fait écho à l’avertissement.
Après quelques spéculations initiales sur le ransomware que les attaquants utilisent pour chiffrer les serveurs vulnérables, il a été confirmé qu’il s’agit d’une nouvelle famille de ransomwares qui a été surnommée ESXiArgs en raison des systèmes ciblés et de l’extension (.args) ajoutée aux fichiers chiffrés des machines virtuelles (fichiers avec les extensions .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram et .vmem). Et, malheureusement, son cryptage n’a pas de bugs qui pourraient être exploités.
ESXi est installé sur hôtes bare-metal, souvent loué auprès d’un fournisseur de services cloud. Julien Levrard, CISO d’OVHcloud, déclare avoir identifié des hôtes compromis et notifié les clients concernés, mais n’a pas précisé le nombre d’hôtes touchés.
Agence de presse italienne ANSA déclare que « les attaques ont compromis des dizaines de systèmes informatiques en Italie dans les secteurs public et privé ». Selon Censys, il y a plus de 3 200 serveurs compromis, principalement en France, mais aussi aux US< /a>, Allemagne, Canada, Royaume-Uni, Pays-Bas et autres pays du monde.
Que faire ?
Les administrateurs dont les serveurs ESXi n’ont pas été touchés ont probablement déjà implémenté le correctif proposé par VMware, ont désactivé le service SLP et/ou ont rendu les serveurs inaccessibles depuis Internet. Si ce n’est pas le cas, ils ont peut-être simplement de la chance – mais leur chance s’épuisera probablement bientôt, ils devraient donc effectuer ces actions.
Il existe de nombreuses familles de rançongiciels – et autres logiciels malveillants – capables de cibler les machines virtuelles VMware ESXi et avec un L’exploit PoC pour CVE-2021-21974 étant public, nous pouvons nous attendre à ce que les pirates les brandissant essaient la même astuce.
Levrard indique que le ransomware utilise une clé publique déployée dans /tmp/public.pem, qu’il essaie d’arrêter les machines virtuelles en tuant le processus VMX pour déverrouiller les fichiers, que les attaquants n’exfiltrent pas les données avant de chiffrer les fichiers et que, dans certains cas, le chiffrement n’est que partiel et les données peuvent être récupérées. Il a dirigé les utilisateurs vers une procédure de récupération de fichier VMDK décrite par le chercheur en sécurité Enes Sönmez.
« Nous avons testé cette procédure ainsi que de nombreux experts en sécurité avec succès sur plusieurs serveurs impactés. Le taux de réussite est d’environ 2/3. Sachez que suivre cette procédure nécessite de solides compétences sur les environnements ESXi. Utilisez-le à vos propres risques et demandez l’aide d’experts pour vous aider », a-t-il ajouté.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
