Le contexte
Il s’agit d’une vague d’attaques exploitant une vulnérabilité, présente dans certaines versions non mises à jour du système ESXi, de la société VMWare, utilisées par un grand nombre d’organismes pour créer et gérer des machines virtuelles. Elle alerte sur la nécessité de procéder à la mise à jour de cet outil.
La vulnérabilité permet à un attaquant de réaliser une exploitation de code arbitraire à distance et peut donner lieu à l’installation d’un « rançongiciel » (programme capable de rendre inaccessibles les informations enregistrées dans un système d’information et servant de base à une demande de rançon).
Que faut-il faire ?
Appliquer la mise à jour officielle de l’éditeur
Cette vulnérabilité a fait l’objet d’un bulletin d’alerte du CERT-FR; l’éditeur du logiciel a quant à lui publié un bulletin de sécurité qui détaille les versions concernées et permet de télécharger les mises à jour corrigeant la vulnérabilité.
C’est pourquoi il est recommandé aux organismes qui n’ont pas encore installé cette mise à jour et qui sont donc exposés à cette vulnérabilité, de l’appliquer au plus tôt. Dans son alerte, l’ANSSI rappelle que « la mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. ». La On rappelle également que la mise à jour des composants essentiels du système d’information est une mesure de base de la sécurité des données personnelles et doit être mise en place par tous les responsables de traitement et leurs sous-traitants. Il est notamment recommandé de s’abonner aux alertes du CERT-FR ou d’un CERT spécialisé ainsi qu’à celles de ses fournisseurs.
Auditer les systèmes d’information
D’une manière générale, on conseille aux organismes de procéder à des audits de leurs systèmes d’information et de surveiller en particulier les activités suspectes qu’ils pourraient repérer dans leurs journaux d’activité.
Depuis le vendredi 03 février 2023, des campagnes d’attaques ciblent les hyperviseurs VMware ESXI. Les attaquants exploitent activement les vulnérabilités CVE-2020-3992 et CVE-2021-21974. Plusieurs pays sont déjà victimes à ce jour principalement la France, les États-Unis, le Canada, l’Allemagne et le Royaume-Uni.
D’après le bulletin d’alerte CERTFR-2023-ALE-015 du CERT-FR, les systèmes visés sont les hyperviseurs :
- ESXi versions 7.x antérieures à ESXi70U1c-17325551
- ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
- ESXi versions 6.5.x antérieures à ESXi650-202102101-SG
La vulnérabilité met en défaut le protocole SLP (Service Location Protocol), qui fournit un cadre permettant aux applications réseau de découvrir l’existence, l’emplacement et la configuration des services en réseau dans les réseaux d’entreprises.
Le service OpenSLP est utilisé par les hyperviseurs ESXi développe le protocole présentant une vulnérabilité de débordement de pile (heap-overflow). En effet, un acteur malveillant qui se trouve sur le même segment réseau que les hyperviseurs ESXi et qui a accès au port 427 peut provoquer un incident de débordement de pile dans le service OpenSLP, entraînant potentiellement l’exécution de code à distance.
Exploitation de la vulnérabilité pour déployer un Ransomware
Depuis plusieurs jours, la vulnérabilité est activement utilisée par une campagne de Ransomware. Plusieurs sources affirment qu’il s’agit du Ransomware Nevada sans pouvoir être explicite sur le sujet au niveau du CERT-CONIX. Le Ransomware a été baptisé ESXIArgs en attendant de trouver la souche de Ransomware qui a été utilisé pour cette campagne d’attaque.
De plus, il pourrait, sans être avéré, s’agir d’une campagne visant la déstabilisation de l’écosystème français.
Contre-mesures
Nous vous recommandons, conjointement aux recommandations de nos confrères CERT-FR, l’application, sans délai, du contournement proposé par VMWare dans son article de blog et qui consiste à désactiver le service SLP sur les hyperviseurs ESXi qui n’auraient pas été mis à jour.
Dans un cadre plus large, nos recommandations sont les suivantes :
- Analyser les hyperviseurs ESXi en recherchant les indicateurs de compromissions
- Appliquer régulièrement les mises à jour publiées par l’éditeur
- Bloquer l’utilisation du port 427 depuis les zones externes aux segments hébergeant hyperviseurs ESXi
- Durcir les hyperviseurs ESXi
- Réviser les architectures permettant l’hébergement des hyperviseurs ESXi afin de respecter les bonnes pratiques de cloisonnements aussi bien système que réseau.
Indicateurs de compromission
- Le protocole OpenSLP via le port 427
- Le chiffrement utilisant une clé publique déployée par le malware dans /tmp/public.pem
- Le processus de chiffrement cible les fichiers des machines virtuelles (.vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem) avec une extension .args
ESXIArgs : le ransomware plus robuste
Une nouvelle version de ESXIargs empêche la récupération des VMs infectées depuis mercredi 08 février. Avec une capacité de chiffrement plus large, elle permet de chiffrer des fichiers avec une plus grande taille. D’autre part, les premiers rapports affirment que l’attaque était liée à l’exploitation de la vulnérabilité du protocole SLP sur VMware, mais certaines victimes déclarent avoir été infectées malgré la désactivation de ce protocole. Nous manquons d’informations fiables permettant de lier ces incidents à cette campagne.
Dans sa version précédente et pour faire simple, le ransomware semblait chiffrer totalement les fichiers de moins de 128 Mo.
Pour les fichiers de plus grands en taille, il chiffrait par blocs de 1 Mo en laissant entre eux un « blanc » calculé avec la formule suivante : (taille en kilobits/1024/100) -1.
Ce qui ne permettait de chiffrer qu’une infirme partie des fichiers. Cela a permis de mettre en place une méthode de récupération des fichiers par un script publié par le CISA, l’équivalent de l’ANSSI aux États-Unis.
La nouvelle version d’ESXiargs rend plus complexe la récupération. Désormais, elle ne laisse que 1 Mo entre les blocs, chiffrant par conséquent plus de 50 % des fichiers présents sur un serveur. Il devient donc impératif de suivre les contre-mesures énoncées précédemment, mais surtout de mettre à jour son hyperviseur.