Une campagne de ransomware à grande échelle cible les serveurs VMWare ESXi obsolètes. Un correctif pour la vulnérabilité est disponible depuis deux ans.
VMware donne plus d’informations sur les attaques contre ses serveurs ESXi dans un billet de blog. Selon VMware, rien n’indique que les attaquants exploitent les vulnérabilités zero day, mais il s’agit d’une vulnérabilité connue depuis 2021. Il est donc conseillé de mettre à jour les serveurs et de désactiver OpenSLP dès que possible. Voici les versions d’ESXi qui sont vulnérables (via Bleeping Computer):
- ESXI 7.x : toutes les versions antérieures à ESXi70U1c-17325551
- ESXi 6.7.x : toutes les versions antérieures à ESXi670-202102401-SG
- ESXi 6.5.x: ESXi650-202102101-SG
Entre-temps, selon les chiffres gérés par Censys, plus de 4 000 serveurs VMware ESXi ont déjà été touchés par un ransomware. Les attaques se produisent dans le monde entier, la plupart en France, aux États-Unis, en Allemagne et au Canada. On ne connaît pas encore d’incidents dans les entreprises belges, mais déjà 86 aux Pays-Bas. L’organisation nationale française de cybersécurité CERT-FR a envoyé vendredi un avertissement aux entreprises pour qu’elles mettent à jour leur infrastructure.
Correctif disponible pendant deux ans
Les organisations qui sont touchées doivent aussi faire son examen de conscience. La vulnérabilité CVE-2021-21974 est arrivée en février 2021 lorsque VMware a déployé un correctif. Ainsi, deux ans plus tard, des milliers de serveurs ESXi semblent ne pas avoir été corrigés. Cependant, les mises à jour en temps opportun sont l’une des mesures de base pour se protéger contre les ransomwares.
Pour beaucoup d’entreprises, cette tâche se révèle assez difficile, explique Stefan Van der Wal, ingénieur-conseil en solutions chez Barracuda Networks : « Il n’est pas toujours facile pour les organisations de mettre à jour leurs logiciels. Dans le cas de ce correctif, par exemple, les organisations doivent désactiver temporairement des parties essentielles de leur infrastructure informatique. Mais c’est bien mieux que de subir une attaque potentiellement néfaste. Il est vital de sécuriser l’infrastructure virtuelle. »
Attaques contre les machines virtuelles
Check Point Software craint que les attaques à grande échelle contre les machines virtuelles deviennent plus courantes. Selon l’expert Zahier Madhar, le fait que les attaques de ransomware ne se limitent plus à Windows est significatif d’une tendance dans la cybercriminalité : « Jusqu’à récemment, les ransomwares se limitaient aux machines basées sur Windows. Il est possible que les attaquants comprennent à quel point les serveurs Linux sont cruciaux pour les organisations, c’est pourquoi ils ont investi dans des outils pour les attaquer. »
Pour Van der Wal ce n’est pas une surprise : « Les machines virtuelles sont une cible attrayante pour les ransomwares parce que des services ou des fonctions critiques pour l’entreprise y sont souvent exécutés. Une attaque réussie peut donc provoquer des dégâts importants. Pour protéger pleinement l’infrastructure virtuelle, il est important de la séparer du reste du réseau de l’entreprise. »
Tout récemment, VMware a également mis en garde contre une faille de sécurité dans Aria Operations for Logs. La meilleure leçon à tirer de l’incident ESXi est d’appliquer immédiatement le correctif pour cette vulnérabilité.