Les hyperviseurs VMware ESXi en version 6.x et antérieures à 6.7 font l'objet d’une campagne d'attaques dans le but d'y déployer un rançongiciel, alerte le CERT de l’ANSSI. Elles exploiteraient la vulnérabilité CVE-2021-21974, pour laquelle un correctif est disponible depuis le 23 février 2021.
« Le CERT-FR recommande d'appliquer sans délai le contournement proposé par l'éditeur dans son article de blogue et qui consiste à désactiver le service SLP sur les hyperviseurs ESXi qui n'auraient pas été mis à jour. Cette modification empêchera les clients CIM de localiser les serveurs CIM via le service SLP. »
Pour autant, souligne le CERT, « l'application seule des correctifs n'est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d'effectuer une analyse des systèmes afin de détecter tout signe de compromission ».
Les produits VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation) seraient également vulnérables, précise l'entreprise, qui estime la criticité de la vulnérabilité « à un score CVSSv3 maximum de 9.8 » :
« Un acteur malveillant résidant dans le même segment de réseau qu'ESXi et ayant accès au port 427 peut être en mesure de déclencher le problème de débordement de tas dans le service OpenSLP, entraînant l'exécution de code à distance. »
OVHcloud relève qu'Enes Sönmez, un chercheur turc, a documenté une procédure permettant de récupérer les fichiers VMDK chiffrés, que le taux de succès serait de 2/3, mais que la procédure nécessite de solides connaissances des environnements ESXI.
L'entreprise, qui a envoyé un e-mail à ses clients vendredi après-midi, a bloqué le port 427 OpenSLP entre Internet et les serveurs avec ESXI installé, et scanné ses réseaux pour alerter ses clients compromis. Elle précise : « nous avons des moyens d'action limités puisque nous n'avons aucun accès logique aux serveurs de nos clients ».
Vendredi soir, BleepingComputer dénombrait sur Shodan « au moins 120 serveurs » compromis dans le monde, majoritairement en France, Allemagne et aux États-Unis, par le rançongiciel surnommé ESXiArgs, parce que l’extension des fichiers chiffrés est modifiée en « .args ».
3200 #ESXI touchés depuis vendredi pour #censys, 800 pour #shodan, 2100 pour #onynphe...
— S. A. X. X. (@_SaxX_) February 6, 2023
Je rappelle que ces chiffres ne reflètent pas l'étendue de cette cyberattaque mondiale ! FYI, sur certains ESXI, 2 voire + de clients peuvent y être rattachés.
On est plutôt sur x5 ou + ! pic.twitter.com/tJyXtgrahV
Ce lundi matin, Shodan en répertoriait 785, dont 220 en France, 179 aux USA, 108 en Allemagne et 77 au Canada, 186 hébergés par OVH SAS, 89 par Hetzner Online GmbH, 72 par OVH Hosting Inc., 15 par OVH US LLC et 13 par OVH GmbH.
Onyphe, de son côté, répertoriait 2 112 adresses IP compromises sur quelque 50 000 potentiellement exposées ce dimanche après-midi, et Censys plus de 3200.
Les machines infectées afficheraient, d’après le forum de BleepingComputer, des demandes de rançons d'un peu plus de 2 bitcoins à payer sous trois jours, faute de quoi des données seraient rendues publiques, voire revendues, et le montant de la rançon réévalué.
« Les adresses de paiement sont différentes pour chaque victime, mais l’identifiant de messagerie instantanée chiffrée Tox ne change pas », précise LeMagIT.
