VMware : !! Alerte de sécurité !! Attaque massive cible les serveurs VMware ESXi
Depuis le 03/02/2022, une alerte est donnée annonçant des attaques ciblent les serveurs VMware ESXi en exploitant une vulnérabilité d’exécution de code à distance vieille de deux ans pour déployer un ransomware et cryptées les fichiers des VMs.
Les attaquants utilisent une faille de sécurité suivie sous la référence CVE-2021-21974 et affectent les systèmes suivants :
-
- Versions d’ESXi 7.x antérieures à ESXi70U1c-17325551
- Versions d’ESXi 6.7.x antérieures à ESXi670-202102401-SG
- Versions d’ESXi 6.5.x antérieures à ESXi650-202102101-SG
En effet, lorsqu’une VM est créée, de nombreux fichiers composent cette machine virtuelle sont stockés sur le datastore :
Fichiers | Description |
.vmx | VM configuration |
.vmdk | VM disque caractéristique |
-flat.vmdk | VM data disque |
.nvram | VM BIOS et EFI configuration |
.vmsd | VM snapshots |
.vmsn | VM snapshots data |
.vswp | VM swap file |
.log | VM log file |
Les attaquants utilisent la faille et chiffres les fichiers des VMs avec une extension .args
Pour bloquer les attaques, vous devez désactiver le service SLP (Service Location Protocol) vulnérable sur les hyperviseurs ESXi qui n’ont pas encore été mis à niveau.
Le service SLP est utilisé par le client vSphere pour découvrir l’inventaire matériel sur vos hôtes en utilisant le port 427.
Le seul impact en désactivons le service c’est la perte de l’état hardware Health de vos serveurs ESXi.
Vous pouvez utiliser la commande /etc/init.d/slpd stop pour arrêter le service SLP et la commande vmware –v pour vérifier la version de vos ESXi
Ou simplement via l’interface graphique :
Si certains ont des ESXi non mis à jour depuis plusieurs mois voire des années et avec des protocoles inutiles disponibles et en plus exposés directement sur Internet, c’est le moment d’agir vite. Attention, le proverbe “Petite négligence accouche d’un grand mal” prend tout son sens dans ce cas.
Pour plus d’informations :
Sécurisez vos infrastructures et Sauvegardez vos données !