VMware : !! Alerte de sécurité !! Attaque massive cible les serveurs VMware ESXi

Depuis le 03/02/2022, une alerte est donnée annonçant des attaques ciblent les serveurs VMware ESXi en exploitant une vulnérabilité d’exécution de code à distance vieille de deux ans pour déployer un ransomware et cryptées les fichiers des VMs.

Les attaquants utilisent une faille de sécurité suivie sous la référence CVE-2021-21974 et affectent les systèmes suivants :

• • Versions d’ESXi 7.x antérieures à ESXi70U1c-17325551
  • Versions d’ESXi 6.7.x antérieures à ESXi670-202102401-SG
  • Versions d’ESXi 6.5.x antérieures à ESXi650-202102101-SG

En effet, lorsqu’une VM est créée, de nombreux fichiers composent cette machine virtuelle sont stockés sur le datastore :

Les attaquants utilisent la faille et chiffres les fichiers des VMs avec une extension .args

Pour bloquer les attaques, vous devez désactiver le service SLP (Service Location Protocol) vulnérable sur les hyperviseurs ESXi qui n’ont pas encore été mis à niveau.

Le service SLP est utilisé par le client vSphere pour découvrir l’inventaire matériel sur vos hôtes en utilisant le port 427.

Le seul impact en désactivons le service c’est la perte de l’état hardware Health de vos serveurs ESXi.

Vous pouvez utiliser la commande /etc/init.d/slpd stop pour arrêter le service SLP et la commande vmware –v pour vérifier la version de vos ESXi

Ou simplement via l’interface graphique :

Si certains ont des ESXi non mis à jour depuis plusieurs mois voire des années et avec des protocoles inutiles disponibles et en plus exposés directement sur Internet, c’est le moment d’agir vite. Attention, le proverbe “Petite négligence accouche d’un grand mal” prend tout son sens dans ce cas.

Pour plus d’informations :

• • BULLETIN D’ALERTE DU CERT-FR
  • BLOG OVH
  • VMware VMSA-2021-0002
  • CVE-2021-21974
  • KB-VMware 76372

Sécurisez vos infrastructures et Sauvegardez vos données !