Les hyperviseurs VMware ESXi sont la cible d’une nouvelle vague d’attaques visant à déployer des rançongiciels sur les systèmes compromis.
« Ces campagnes d’attaques semblent exploiter CVE-2021-21974, pour lequel un correctif est disponible depuis le 23 février 2021 », a déclaré vendredi l’équipe d’intervention d’urgence informatique (CERT) de France dans un avis.
VMware, dans sa propre alerte publiée à l’époque, a décrit le problème comme une vulnérabilité de débordement de tas OpenSLP qui pourrait conduire à l’exécution de code arbitraire.
« Un acteur malveillant résidant dans le même segment de réseau qu’ESXi qui a accès au port 427 peut être en mesure de déclencher le problème de débordement de tas dans le service OpenSLP entraînant l’exécution de code à distance », a noté le fournisseur de services de virtualisation.
Le fournisseur français de services cloud OVHcloud a déclaré que les attaques sont détectées dans le monde entier avec un accent particulier sur l’Europe. On soupçonne que les intrusions sont liées à une nouvelle souche de ransomware basée sur Rust appelée Nevada qui a fait son apparition en décembre 2022.
Parmi les autres familles de rançongiciels connues pour avoir adopté Rust ces derniers mois, citons BlackCat, Hive, Luna, Nokoyawa, RansomExx et Agenda.
« Les acteurs invitent les affiliés russophones et anglophones à collaborer avec un grand nombre de courtiers en accès initial (IAB) sur [le] dark web », a déclaré Resecurity le mois dernier.
« Notamment, le groupe à l’origine du Nevada Ransomware achète également lui-même un accès compromis, le groupe dispose d’une équipe dédiée à la post-exploitation et à la conduite d’intrusions réseau dans les cibles d’intérêt. »
Cependant, Bleeping Computer rapporte que les notes de rançon vues dans les attaques ne présentent aucune similitude avec le ransomware du Nevada, ajoutant que la souche est suivie sous le nom d’ESXiArgs.
Il est recommandé aux utilisateurs de mettre à niveau vers la dernière version d’ESXi pour atténuer les menaces potentielles et restreindre l’accès au service OpenSLP aux adresses IP de confiance.