Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi

Une vague majeure de cyberattaques par ransomware est en train de déferler un peu partout dans le monde et met en alerte de nombreuses agences nationales en sécurité informatique.

Ces campagnes d’attaque semblent exploiter la vulnérabilité ESXi CVE-2021-21974, il est important de comprendre la vulnérabilité et de prendre les mesures nécessaires afin de corriger le problème.

La vulnérabilité ESXi CVE-2021-21974 est une faille de sécurité qui affecte VMware ESXi sur le service Service Location Protocol (SLP). Elle permet à un attaquant distant d’exploiter la machine physique où ESXi est installé. Une fois exploitée, l’attaquant peut exécuter des commandes dans le système d’exploitation, récupérer des données privées et, dans certaines circonstances, exécuter des logiciels malveillants.

Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7. De son côté, le CERT-FR indique que cette faille affecte les versions 7.x antérieures à ESXi70U1c-17325551, 6.7.x antérieures à ESXi670-202102401-SG et 6.5.x antérieures à ESXi650-202102101-SG

Que dois-je faire si j’utilise VMware ?

Heureusement, VMware a publié un correctif pour corriger la vulnérabilité ESXi CVE-2021-21974. La mise à jour inclut une version mise à jour du noyau ESXi, qui peut être appliquée à partir du gestionnaire VMware vSphere. Une fois installée, la vulnérabilité est corrigée. Il est recommandé d’effectuer une sauvegarde complète de votre système avant de mettre à jour votre système.

Il est important de prendre connaissance de la vulnérabilité ESXi CVE-2021-21974 et de prendre les mesures nécessaires pour la corriger. Une fois le correctif installé, vous serez en mesure d’éviter toute exploitation de la vulnérabilité et d’améliorer la sécurité de votre système.

Pour les entreprises qui n’ont pas appliqué le correctif de VMware pour leurs systèmes utilisant les versions ESXi à risque et ne peuvent – ou ne veulent – pas le faire, une solution de contournement est préconisée. A savoir désactiver le service SLP sur les hyperviseurs non à jour. « L’application seule des correctifs n’est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d’effectuer une analyse des systèmes afin de détecter tout signe de compromission », explique aussi l’ANSSI.

Pour obtenir des informations et des conseils actualisés sur les menaces, consultez la page d’actualités du Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR)