VMware : alerte rouge sur l’hyperviseur ESXi !

Vendredi 3 février 2023, le CERT-FR prenait connaissance de campagnes d’attaque exploitant une vulnérabilité présente dans les hyperviseurs ESXi de VMware pour y déployer un rançongiciel. Le patch pour combler la faille existait pourtant depuis deux ans…

Voilà qui va pouvoir rouvrir le débat autour du Patch Management. Comment est-il possible que des hébergeurs et des entreprises du monde entier soient touchés par une cyberattaque exploitant une vulnérabilité dont les correctifs sont disponibles depuis… deux ans  ?  Pour rappel, les patchs s’adressent à la fois aux hébergeurs fournisseurs de machines virtuelles mais également aux utilisateurs desdites machines. Ce matin encore, deux jours après l’annonce de la faille, d’après le site Shodan, de nombreux serveurs OVH, Hetzner, Scaleway et LeaseWeb étaient encore compromis.

Sur cette carte, les serveurs encore compromis ce matin. Source : Shodan
OVH en tête des serveurs compromis – Source : Shodan
Encore 208 serveurs compromis sur le sol français, essentiellement chez OVH (185) – Source : Shodan

Plusieurs systèmes affectés

Les campagnes d’attaque sembleraient exploiter la vulnérabilité CVE-2021-21974, dont le correctif est disponible depuis le 23 février 2021. Cette vulnérabilité affecte le service Service Location Protocol (SLP) et permet à un attaquant de réaliser une exploitation de code arbitraire à distance. Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7. Cependant, le CERT-FR rappelle que la vulnérabilité CVE-2021-21974 affecte les systèmes suivants :

  • ESXi versions 7.x antérieures à ESXi70U1c-17325551
  • ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
  • ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

Désactiver SLP, patcher et analyser en cas d’intrusion

Une méthode de contournement pour éviter l’exploitation de la vulnérabilité (CVE-2021-21974, CVSS 9.8, EPSS 12.4%) est disponible et expliquée sur le site de l’éditeur : bloquer l’accès au service OpenSLP (sur le port 427). L’objectif est d’empêcher les clients CIM de localiser les serveurs CIM via le service SLP). Le CERT-FR recommande ensuite fortement d’appliquer l’ensemble des correctifs disponibles pour l’hyperviseur ESXi. Mais l’application seule des correctifs n’est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d’effectuer une analyse des systèmes afin de détecter tout signe de compromission.