Attaque massive par rançongiciel sur les serveurs VMware ESXi.
L’attaque massive du rançongiciel ESXiArgs cible les serveurs VMware ESXi dans le monde entier. Les administrateurs, les hébergeurs et l’équipe française d’intervention d’urgence informatique (CERT FR) avertissent que les attaquants ciblent activement les serveurs VMware ESXi non corrigés contre une vulnérabilité d’exécution de code à distance vieille de deux ans pour déployer un nouveau rançongiciel ESXiArgs.
Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif.
Suivie sous le nom de CVE-2021-21974 , la faille de sécurité est causée par un problème de débordement de tas dans le service OpenSLP qui peut être exploité par des acteurs malveillants non authentifiés dans des attaques de faible complexité. (Sources)
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi. Le 03 février 2023, le CERT-FR a pris connaissance de campagnes d’attaque ciblant les hyperviseurs VMware ESXi dans le but d’y déployer un rançongiciel. Le CERT-FR recommande d’appliquer sans délai la désactivation le service SLP sur les hyperviseurs ESXi qui n’auraient pas été mis à jour. (Sources)
Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et de donnent pas la clé de déchiffrement après la rançon payée.