Ransomware : une vaste campagne d’attaques cible les serveurs VMware ESXi



Le CERT-FR a émis une nouvelle alerte de sécurité au sujet d'une campagne d'attaques par ransomware NEVADA qui cible les serveurs VMWare ESXi ! Une vulnérabilité déjà connue et déjà corrigée est exploitée par les cybercriminels !


Une nouvelle fois, les hyperviseurs sous VMware ESXi sont dans le viseur des cybercriminels ! Cette fois-ci, les campagnes d'attaques en cours ciblent la vulnérabilité CVE-2021-21974, pour laquelle il existe un patch depuis février 2021.


Il s'agit d'une faille de sécurité qui affecte le service Service Location Protocol (SLP) de VMware ESXi et qui permet à un attaquant d'exécuter du code à distance sur l'hyperviseur. En exploitant cette vulnérabilité, un attaquant peut compromettre le serveur et exécuter un ransomware dans le but de chiffrer les machines virtuelles.

Les serveurs actuellement ciblés tournent sur une version 6.x, antérieure à la version 6.7 et 7.0. Toutefois, le CERT-FR rappelle que cette vulnérabilité s'applique aux versions suivantes de VMware ESXi :

ESXi versions 7.x antérieures à ESXi70U1c-17325551

ESXi versions 6.7.x antérieures à ESXi670-202102401-SG

ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

Comment protéger son hyperviseur VMware ESXi ?​

Pour se protéger contre les attaques visant à exploiter la faille CVE-2021-21974, il y a deux options:

Mettre à jour son hyperviseur VMware ESXi vers une version non vulnérable (option à privilégier mais à effectuer avec prudence)

Désactiver le service SLP (OpenSLP) sur un hyperviseur avec une version vulnérable d'ESXi

𝐏𝐨𝐮𝐫 𝐩𝐥𝐮𝐬 𝐝’𝐢𝐧𝐟𝐨𝐫𝐦𝐚𝐭𝐢𝐨𝐧 𝐞𝐭 𝐬𝐮𝐩𝐩𝐨𝐫𝐭 𝐜𝐨𝐧𝐭𝐚𝐜𝐭𝐞𝐳-𝐧𝐨𝐮𝐬

    
Certificat SSL