Attaque massive par rançongiciel sur les serveurs VMware ESXi.

/ CERT, Cyberattaque, Piratage, Ransomware, Sécurité / Par / 1 minute de lecture
5/5 - (4 votes)

Attaque massive par rançongiciel sur les serveurs VMware ESXi.

VMware ESXi présente une vulnérabilité de débordement de TAS dans son utilisation de OpenSLP.  Un acteur malveillant résidant dans le même segment de réseau qu’ESXi et ayant accès au port 427 peut être en mesure de déclencher le problème de débordement de TAS dans le service OpenSLP, entraînant l’exécution de code à distance.

L’attaque massive du rançongiciel ESXiArgs cible les serveurs VMware ESXi dans le monde entier. Les administrateurs, les hébergeurs et l’équipe française d’intervention d’urgence informatique (CERT FR) avertissent que les attaquants ciblent activement les serveurs VMware ESXi non corrigés contre une vulnérabilité d’exécution de code à distance vieille de deux ans pour déployer un nouveau rançongiciel ESXiArgs.


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif.

Suivie sous le nom de CVE-2021-21974 , la faille de sécurité est causée par un problème de débordement de tas dans le service OpenSLP qui peut être exploité par des acteurs malveillants non authentifiés dans des attaques de faible complexité. (Sources)

Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi. Le 03 février 2023, le CERT-FR a pris connaissance de campagnes d’attaque ciblant les hyperviseurs VMware ESXi dans le but d’y déployer un rançongiciel. Le CERT-FR recommande d’appliquer sans délai la désactivation le service SLP sur les hyperviseurs ESXi qui n’auraient pas été mis à jour. (Sources)


Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et de donnent pas la clé de déchiffrement après la rançon payée.


VMware est une société informatique américaine fondée en 1998, filiale d'EMC Corporation depuis 2004, qui propose plusieurs produits propriétaires liés à la virtualisation d'architectures x86. C'est aussi par extension le nom d'une gamme de logiciels de virtualisation. VMware assure la Création des applications Cloud, il modernise celles existantes et gère l’infrastructure qui les fournit quel que soit le Cloud. En matière de réseau, il accélère les opérations des applications modernes avec la virtualisation du réseau et de la sécurité pour WAN, Data Center et Cloud. Il déploie chaque application, sur tout type de Cloud, partout, du cœur et du RAN, à la périphérie et au Cloud. Le 26 mai 2022, Broadcom confirme l'achat de VMWare pour 61 milliards de dollars et espère devenir « le leader mondial des technologies d'infrastructure ». VMware travaille avec Spring Framework, Spring Boot et Apache Tomcat depuis des années. Le runtime VMware Spring facilite la prise en charge d’ OpenJDK. Des formules d’abonnement annuel sont disponibles par pod et par cœur. Le runtime s’adapte aux dimensions de l'entreprise, quel que soit le nombre de machines virtuelles Java (JVM).


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français bien connu. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut