Vulnérabilité d’exécution de code à distance sur les hyperviseurs VMware ESXi

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/007

Date de l’alerte : 04/02/2023

APERÇU :

Les hyperviseurs VMware ESXi sont sujets d’une attaque qui vise à exploiter une vulnérabilité CVE2021-21974 qui permet à un attaquant de réaliser une exécution de code arbitraire à distance.

DESCRIPTION :

VMware ESXi est un hyperviseur qui permet de virtualiser des serveurs. Il est installé directement sur
le matériel du serveur physique et fournit une couche de virtualisation pour héberger plusieurs
machines virtuelles. Cela maximise l’utilisation du matériel, réduit les coûts opérationnels et améliore
la continuité d’activité pour les administrateurs. L’attaque dont il est question exploite la vulnérabilité
CVE-2021-21974 dont le correctif est disponible depuis le 23 février 2021.
Cette vulnérabilité affecte le service SLP (Service Location Protocol ) et permet à un attaquant de réaliser une exploitation de code arbitraire à distance.

les attaquants ciblent activement les serveurs VMware ESXi non corrigés avec cette vulnérabilité d’exécution de code à distance vieille de deux ans pour déployer un ransomware. Le rançongiciel chiffre les fichiers avec les extensions .vmxf, .vmx, .vmdk, .vmsd et .nvram sur les serveurs ESXi compromis et crée un fichier .args pour chaque document chiffré avec des métadonnées (probablement nécessaires au déchiffrement).

Cette vulnérabilité est de sévérité Elevée et son score CVSSv3 est de 8,8.

IMPACT :

  • Possible exfiltration des données sensibles.
  • Chiffrement des données personnelles.
  • Accès à des fonctionnalités restreintes.

SYSTEMES AFFECTÉS : 

La vulnérabilité exploitée affecte les systèmes suivants:

  • ESXi versions 7.x antérieures à ESXi70U1c-17325551
  • ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
  • ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

MESURES À PRENDRE :

  • L’équipe du bjCSIRT recommande d’appliquer l’ensemble des correctifs disponibles pour l’hyperviseur
    ESXi. Néanmoins, il n’est pas garanti que l’attaquant n’ait pas déjà exploité cette vulnérabilité pour déployer du code malveillant sur la machine. Il est recommandé d’effectuer une analyse approfondie du système pour détecter tout signe de compromission
  • Une autre solution consiste à désactiver le service SLP ou fermer le Port 427 sur les hyperviseurs ESXi qui n’auraient pas été mis à jour.

REFERENCES :

Partagez sur vos réseaux.