IT-Connect » Actualités » Actu Cybersécurité » Ransomware : une vaste campagne d’attaques cible les serveurs VMware ESXi

VMware ESXi - 2023 - Ransomware CVE-2021-21974
Actu Cybersécurité Logiciel - OS 

Ransomware : une vaste campagne d’attaques cible les serveurs VMware ESXi

Florian BURNEL 2018 Views Aucun commentaire , , 1 min read

Le CERT-FR a émis une nouvelle alerte de sécurité au sujet d'une campagne d'attaques par ransomware qui cible les serveurs VMWare ESXi ! Une vulnérabilité déjà connue et déjà corrigée est exploitée par les cybercriminels !

Une nouvelle fois, les hyperviseurs sous VMware ESXi sont dans le viseur des cybercriminels ! Cette fois-ci, les campagnes d'attaques en cours ciblent la vulnérabilité CVE-2021-21974, pour laquelle il existe un patch depuis février 2021.

Il s'agit d'une faille de sécurité qui affecte le service Service Location Protocol (SLP) de VMware ESXi et qui permet à un attaquant d'exécuter du code à distance sur l'hyperviseur. En exploitant cette vulnérabilité, un attaquant peut compromettre le serveur et exécuter un ransomware dans le but de chiffrer les machines virtuelles.

En ce qui concerne les attaques en cours, plusieurs groupes de ransomwares sont évoqués : le groupe de cybercriminels Nevada, qui est relativement nouveau et qui s'attaque aussi aux serveurs Windows, et le groupe Cheers, qui s'en est déjà pris à plusieurs reprises aux serveurs VMware ESXi.

Les serveurs actuellement ciblés tournent sur une version 6.x, antérieure à la version 6.7. Toutefois, le CERT-FR rappelle que cette vulnérabilité s'applique aux versions suivantes de VMware ESXi :

  • ESXi versions 7.x antérieures à ESXi70U1c-17325551
  • ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
  • ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

Comment protéger son hyperviseur VMware ESXi ?

Pour se protéger contre les attaques visant à exploiter la faille CVE-2021-21974, il y a deux options :

  • Mettre à jour son hyperviseur VMware ESXi vers une version non vulnérable (option à privilégier mais à effectuer avec prudence)
  • Désactiver le service SLP (OpenSLP) sur un hyperviseur avec une version vulnérable d'ESXi

Pour le second point, vous pouvez lire cette procédure sur le site de VMware puisqu'elle explique comment désactiver ce service. A ce sujet, vous devez tenir compte de cet avertissement mis en ligne par le CERT-FR : "Cette modification empêchera les clients CIM de localiser les serveurs CIM via le service SLP."

Ces mesures sont d'autant plus importantes pour les serveurs VMware ESXi exposés directement sur Internet. Le bulletin du CERT-FR est disponible à cette adresse, tandis que celui de VMware est accessible ici.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5557.Voir tous les posts

Vous pourrez aussi aimer

Malware Raspberry Robin - Il contourne Microsoft Defender pour infecter Windows

Toujours plus furtif, le malware Raspberry Robin contourne Microsoft Defender pour infecter Windows

Florian BURNEL 0

Piratage d’Okta : seulement deux clients affectés d’après le rapport d’enquête

Florian BURNEL 0

Voici la première bêta de WinUI 3 publiée par Microsoft

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.