Exploitation massive d’une vulnérabilité Vmware ESXi pour distribuer un rançongiciel
Une attaque massive par rançongiciel est en cours. Cette attaque exploite une ancienne vulnérabilité de type RCE existante sur certaines versions VMWare ESXi. Une vulnérabilité RCE permet à une personne malicieuse d’exécuter du code arbitraire à distance sur une machine, sans avoir besoin de connaitre le mot de passe de ladite machine.
La présente vulnérabilité dont le numéro CVE CVE-2021-21974, a un niveau de sévérité ÉLÉVÉ, avec un score de 8.8. Elle est actuellement exploitée pour introduire des rançongiciels sur les ordinateurs attaqués.
Ancienne vulnérabilité
La vulnérabilité CVE-2021-21974 n’est pas nouvelle. Un correctif existe d’ailleurs depuis le 23 février 2021. Son exploitation massive actuelle signifie que plusieurs organisations n’ont pas pris les mesures pour corriger la vulnérabilité.
Port attaqué
L’attaque cible le port OpenSLP (427).
Versions ESXi vulnérables
- Les versions ESXi suivantes sont vulnérables :
- ESXi versions 7.x antérieures à ESXi70U1c-17325551
- ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
- ESXi versions 6.5.x antérieures à ESXi650-202102101-SG
Comment verifier si vous avez été ciblé par cette attaque
- Verifier dans votre firewall s'il y'a des communications entrantes sur le port 427.
Comment savoir si vous êtes vulnérables
- Vous devez faire un balayage de vulnérabilités de votre environnement VMWare (si vous en utilisez). Si vous avez besoin d'aide, contactez nous au 877 208-9040 ou parlez à l’un de nos experts.
Mitigation
- Le correctif de la vulnérabilité peut être trouvé ici.
- Comme mesure additionnelle, vous pouvez aussi bloquer les communications externes venant sur le port 427.
Publication par le CISA d'un script de reconstruction des VM impactées
7 fevrier 2023 en soirée: l’agence Américaine pour la cybersécurité et la sécurité des infrastructures (CISA) vient de rendre disponible un script qui pourrait permettre de reconstruire les métadonnées des VM impactées à partir des disques virtuels qui n'ont pas été chiffrés par le rancongiciel. Noter que le script n'est pas un dechiffreur du rancongiciel.
Avec un peu de chance, des victimes pourraient recuperer certaines VM impactées.
Vous pouvez telecharger le script ici.
Considerations sur les vulnérabilités ayant un score de 8.8
Le score ÉLÉVÉ de la vulnérabilité signifie que:
- La vulnérabilité peut être exploitée à distance.
- Aucune authentification n'est requise pour exploiter la vulnérabilité.
- L'attaquant n'a pas besoin de connaitre le mot de passe du serveur attaqué
- la vulnérabilité peut être exploitée facilement.
- les impacts peuvent être majeurs
Il est donc urgent de corriger cette vulnérabilité.
Comment Streamscan peut vous aider?
Les cyberattaques explosent sans cesse. Sans surveillance de sécurité en continu, vous êtes complètement aveugle sur les attaques qui vous ciblent. Or vous ne pouvez pas vous défendre contre ce que vous ne voyez pas.
Laissez-nous mettre nos yeux sur votre réseau. Adhérez à notre plateforme de surveillance gérée MDR propulsée par notre technologie de détection de cybermenaces CDS et mettez vous à l'abri des cyberattaques.
- Contactez nous au +1 877 208-9040 ou parlez à l’un de nos experts.