Résumé
[Mise à jour du 10 février
2023]
Une nouvelle vague d’attaque démarrée le 8 février change la méthode de
chiffrement permettant de chiffrer un plus grand volume de données dans
les fichiers de grande taille rendant la restauration des données plus
difficile voire impossible.
[Mise à jour du 05 février 2023] Mise à jour du résumé et de la
section 'Solution'.
Le 03 février 2023, le CERT-FR a pris connaissance de campagnes
d'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y déployer
un rançongiciel.
Dans l'état actuel des
investigations, ces campagnes d'attaque semblent avoir tiré parti
de l'exposition d'hyperviseurs ESXi qui n'auraient pas été mis à jour
des correctifs de sécurité suffisamment rapidement. En particulier, le
service SLP semble avoir été visé, service pour lequel plusieurs
vulnérabilités avaient fait l'objet de correctifs successifs (notamment
les vulnérabilités CVE-2020-3992 et CVE-2021-21974, cf. section
Documentation). Ces vulnérabilités permettent à un attaquant de réaliser
une exploitation de code arbitraire à distance. Des codes d'exploitation
sont disponibles en source ouverte depuis au moins mai 2021.
Les systèmes actuellement visés seraient des hyperviseurs ESXi en
version 6.x et antérieures à 6.7.
Cependant, le CERT-FR rappelle que les vulnérabilités affectant SLP
concernent les systèmes suivants :
- ESXi versions 7.x antérieures à ESXi70U1c-17325551
- ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
- ESXi versions 6.5.x antérieures à ESXi650-202102101-SG
Solution
[Mise à jour du 05 février 2023]
Le CERT-FR a la confirmation qu'il est possible de récupérer les disques
des machines virtuelles lorsque les fichiers de configuration (.vmdk)
sont chiffrés et renommés avec une extension .args. En effet, dans ce
cas, le fichier contenant le disque virtuel (fichier -flat.vmdk) n'est
pas chiffré. Plusieurs procédures testées avec succès sont documentées
[1].
Le CERT-FR recommande fortement de :
- isoler le serveur affecté ;
- dans la mesure du possible, effectuer une analyse des systèmes afin
de détecter tout signe de compromission [2], l'application seule
des correctifs n'est pas suffisante, un attaquant a probablement
déjà déposé un code malveillant ;
- privilégier une réinstallation de l'hyperviseur dans une version
supportée par l'éditeur (ESXi 7.x ou ESXi 8.x) ;
- appliquer l'ensemble des correctifs de sécurité et de suivre les
futurs avis de sécurité de l'éditeur ;
- désactiver les services inutiles sur l'hyperviseur (tel que le
service SLP [3]) ;
- bloquer l'accès aux différents services d'administration, soit par
un pare-feu dédié, soit par le pare-feu intégré à l'hyperviseur et
mettre en œuvre un réseau local d'administration ainsi qu'une
capacité d'administration distante si elle est requise (via réseau
privé virtuel, VPN, ou, à défaut, par un filtrage des adresses IP
de confiance).
La mise à jour d'un produit ou d'un logiciel est une opération délicate
qui doit être menée avec prudence. Il est notamment recommandé
d'effectuer des tests autant que possible. Des dispositions doivent
également être prises pour garantir la continuité de service en cas de
difficultés lors de l'application des mises à jour comme des correctifs
ou des changements de version.