Secu
Une vaste campagne d’attaques contre les infrastructures VMware : les DSI en alerte rouge
Par Laurent Delattre, publié le 06 février 2023
L’ANSSI, le CISA et d’autres agences alertent les entreprises d’une vaste campagne d’attaques par ransomware visant les infrastructures VMware et s’appuyant sur une faille ESXi vieille de deux ans mais souvent pas patchée.
Les responsables informatiques n’aiment pas toucher à leur cœur d’infrastructure. On peut les comprendre mais ne pas patcher les failles de sécurité est devenu un risque bien plus grand. Or quand la faille de sécurité touche le cœur de l’infrastructure, les dégâts peuvent être dramatiques.
Depuis Vendredi, le CERT-FR, l’ANSSI et l’ACN Italienne alertent les RSSI sur une attaque de grande ampleur par ransomware ciblant particulièrement les serveurs européens et américains animés par l’hyperviseur ESXi (au cœur de VSphere) de VMware. L’attaque exploite une faille assez facile à exploiter de l’hyperviseur connue depuis deux ans et dont les rustines sont disponibles depuis autant de temps.
Selon différentes sources, plus de 3200 serveurs ont déjà été affectés et pris en otage. La France compte parmi les pays les plus touchés avec l’Italie, les US, le Canada, l’Allemagne et le Royaume-Uni. Les clients de OVHcloud et de Scaleway semblent avoir été visés en premier, mais l’attaque s’étend désormais y compris vers l’Asie et Singapour.
Dénommé ESXiArgs, l’attaque vise les infrastructures VSphere 6.x (avant la 6.7 ESXi670-202102401) et même celles en VSphere 7.0 (avant ESXi70U1C-17325551) non mises à jour et utiliserait deux failles connues et notamment la CVE-2021-21974 patchée en février 2021 qui semble être la plus utilisée par les attaquants.
Le CERT-FR recommande d’appliquer au plus vite « l’ensemble des correctifs disponibles pour l’hyperviseur ESXi » car la campagne d’attaque est dynamique et pourrait changer de faille cible. Si un patch en urgence est impossible, une protection temporaire peut être activée en désactivant le service SLP de l’hyperviseur.