Le ransomware Conti exploite Log4Shell pour attaquer VMware vCenter

Le ransomware Conti est très actif et il compte bien profiter de l'apparition de la faille de sécurité Log4Shell pour faire de nouvelles victimes. Son objectif : compromettre une instance VMware vCenter afin de chiffrer les machines virtuelles.

La faille de sécurité dans la bibliothèque Log4j représente un nouveau vecteur d'attaque très intéressant pour les pirates informatiques. En effet, cette faille peut-être exploitée à distance sans nécessiter d'authentification au préalable.

Après l'apparition d'un nouveau ransomware nommé Khonsari et qui pourrait s'en prendre aux serveurs Minecraft dans les prochains jours, c'est Conti, un ransomware bien connu, qui cherche à tirer profit de cette vulnérabilité. Malheureusement, la liste des groupes de pirates qui exploitent la faille Log4Shell devrait s'agrandir jour après jour.

De nombreux services et produits sont vulnérables à cette faille de sécurité, dont VMware avec plusieurs dizaines de produits différents estampillés comme étant vulnérables. Pour information, VMware vSphere ESXi n'est pas vulnérable, ce qui n'est pas le cas de VMware vCenter Server.

Je ne vais pas vous dire de patcher votre serveur vCenter de toute urgence, car pour le moment le correctif n'est pas encore disponible. D'ailleurs, vous pouvez suivre l'évolution de la situation sur le site de VMware au sein du bulletin de sécurité VMSA-2021-0028.

Normalement, les serveurs VMware vCenter ne sont pas exposés directement sur Internet. De ce fait, ce ne sera pas le point d'entrée d'origine de l'attaque. Par contre, si l'attaquant a déjà pris le contrôle d'un autre équipement, il peut se déplacer sur le réseau pour compromettre le serveur VMware vCenter (ou un autre produit VMware concerné par cette faille de sécurité). Après avoir pris le contrôle du serveur vCenter, l'attaquant peut déployer la charge finale : le ransomware Conti afin de chiffrer les machines virtuelles.

La vulnérabilité Log4Shell est idéale pour réaliser des mouvements latéraux sur un réseau afin de passer d'un hôte à un autre, et de progresser.

En complément, vous pouvez consulter l'analyse d'AdvIntel sur l'utilisation de la faille Log4j par le gang Conti. Pour rappel, ce gang est à l'origine de plusieurs centaines d'attaques, avec une liste de victimes qui compte plus de 600 entreprises n'ayant pas payé la rançon.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3500 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.