Campagne d’exploitation d’une vulnérabilité dans ESXi

Le 3 février, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) alerte sur une campagne d’attaque visant à chiffrer les hyperviseurs VMware ESXi.

Les attaquants à l’origine de cette campagne semblent exploiter la CVE-2021-21974 affectant VMware ESXi. Cette vulnérabilité, datant de février 2021, possède un score CVSS de 8.8 et affecte le service Service Location Protocol (SLP). Elle permet à un attaquant, ayant accès au port 427 d’un ESXi, de provoquer un débordement de tas dans le service OpenSLP, pouvant mener à une exécution de code arbitraire. Cette vulnérabilité fait l’objet d’un bulletin publié par le CERT Santé.

Depuis vendredi, plus de 3000 serveurs dans le monde ont été chiffrés, la majorité localisée en France, en Allemagne, au Canada et aux États-Unis.

Cette vulnérabilité affecte l’ensemble des systèmes suivants :

  • ESXi versions 6.5.x antérieures à ESXi650-202102101-SG
  • ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
  • ESXi versions 7.x antérieures à ESXi70U1c-17325551

 

Il est recommandé de mettre à jour l’ensemble des serveurs ESXi vers les versions :

  • Correctif de sécurité VMware ESXi 6.5 ESXi650-202102001
  • Correctif de sécurité VMware ESXi 6.7 ESXi670-202102001
  • Correctif de sécurité VMware ESXi 7.0 Update 1c ESXi70U1c-17325551

Si les correctifs ne peuvent être déployés, il est recommandé de désactiver le protocole SLP.

L’ANS a mis à disposition des organisations de santé une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.