Faille ESXi, quid du Patch Management ?

Fév 6, 2023 | Cyber Security | 0 commentaires

A l’issue du week-end, ce sont plusieurs centaines de systèmes VMware ESXi qui étaient affectés, dont un grand nombre en Europe.

Des centaines d’attaques par ransomware exploitent une vulnérabilité dans VMware ESXi. Les versions antérieures à la v6.7 de l’hyperviseur sont touchées. La question du Patch Management est posée.

A l’issue du week-end, ce sont plusieurs centaines de systèmes VMware ESXi qui étaient affectés, dont un grand nombre en Europe. Vendredi 3 février 2023, différents CERT prenaient connaissance de campagnes d’attaque exploitant une vulnérabilité présente dans les hyperviseurs ESXi de VMware pour y déployer un ransomware. Le patch pour combler la faille existait pourtant depuis deux ans…

L’alerte en Europe date de vendredi midi. « Si vous utilisez ESXi 6.x, mettez à jour immédiatement, un cryptolock est en train de se propager à toute vitesse », a notamment fait savoir OVHcloud. Mais, pour beaucoup, il était déjà trop tard. Italie, Espagne, France, Allemagne, Finlande… Le mal s’est rapidement répandu.

ESXiArgs

La faille, donc, n’est pas nouvelle. Mais tous les serveurs n’ont pas été mis à jour. Les pirates en ont profité pour injecter un ransomware dans le cadre d’une attaque coordonnée. Il a été identifié sous le nom de ESXiArgs en raison de l’extension des fichiers chiffrés modifiée en « .args ». Léger -environ 49 Ko- l’exécutable chargé du chiffrement est lancé par un script shell… 

Selon les analystes, la campagne ressemble à une opération automatisée de grande ampleur profitant de l’exploitation de vulnérabilités pour lesquelles les correctifs n’ont pas été appliqués. De quoi rappeler des campagnes comme celles ayant touché des NAS, avec Qlocker, eCh0raix ou DeadBolt.

Vulnérabilité… rien n’est sûr

Tout un temps, la rumeur a fait référence au ransomware Nevada mentionné par ReSecurity. Mais la demande de rançon observée sur les serveurs ESXi compromis aujourd’hui ne correspond pas : elle rappelle plutôt CheersCrypt. Du moins, à ce stade de l’enquête.

Autre interrogation : quelle est la vulnérabilité exploitée dans cette campagne ? Le français Scaleway a initialement fait référence à la série couverte par le bulletin VMSA-2022-0030 d’août dernier. D’autres ont suggéré l’exploitation de la CVE-2020-3992. OVHcloud avance la piste CVE-2021-21974. La campagne viserait principalement les serveurs ESXi de version antérieure à la 7.0 U3i via leur port OpenSLP (427). Des démonstrateurs d’exploitation de cette vulnérabilité sont publiquement disponibles depuis le mois de mai 2021. VMware avait publié un bulletin d’alerte sur cette vulnérabilité trois mois plus tôt.

 L’application seule des correctifs n’est pas suffisante

Voilà qui va pouvoir rouvrir le débat autour du Patch Management. Comment est-il possible que de grands hébergeurs et des entreprises du monde entier soient touchés par une cyberattaque exploitant une vulnérabilité dont les correctifs sont disponibles depuis précisément deux ans ? 

Là, pour beaucoup, il est trop tard. « L’application seule des correctifs n’est pas suffisante. Il est recommandé d’effectuer une analyse des systèmes afin de détecter tout signe de compromission », explique l’ANSSI.