VMware a déclaré lundi n’avoir trouvé aucune preuve que les acteurs de la menace exploitent une faille de sécurité inconnue, c’est-à-dire un jour zéro, dans son logiciel dans le cadre d’une vague d’attaques de ransomwares en cours dans le monde entier.

« La plupart des rapports indiquent que la fin du support général (EoGS) et/ou des produits considérablement obsolètes sont ciblés par des vulnérabilités connues qui ont été précédemment traitées et divulguées dans les avis de sécurité VMware (VMSA) », a déclaré le fournisseur de services de virtualisation.

La société recommande en outre aux utilisateurs de mettre à niveau vers les dernières versions prises en charge disponibles des composants vSphere pour atténuer les problèmes connus et désactiver le service OpenSLP dans ESXi.

« En 2021, ESXi 7.0 U2c et ESXi 8.0 GA ont commencé à être livrés avec le service désactivé par défaut », a ajouté VMware.

L’annonce intervient alors que les serveurs VMware ESXi non corrigés et non sécurisés du monde entier ont été ciblés dans une campagne de rançongiciels à grande échelle baptisée ESXiArgs en exploitant probablement un bogue VMware de deux ans corrigé en février 2021.

La vulnérabilité, identifiée comme CVE-2021-21974 (score CVSS : 8,8), est une vulnérabilité de débordement de mémoire tampon OpenSLP qu’un acteur malveillant non authentifié peut exploiter pour obtenir l’exécution de code à distance.

Les intrusions semblent isoler les serveurs ESXi sensibles qui sont exposés à Internet sur le port OpenSLP 427, les victimes étant invitées à payer 2,01 Bitcoin (environ 45 990 $ au moment de la rédaction) pour recevoir la clé de cryptage nécessaire pour récupérer les fichiers. Aucune exfiltration de données n’a été constatée à ce jour.

Les données de GreyNoise montrent que 19 adresses IP uniques ont tenté d’exploiter la vulnérabilité ESXi depuis le 4 février 2023. 18 des 19 adresses IP sont classées comme bénignes, avec une seule exploitation malveillante enregistrée aux Pays-Bas.

« Les clients ESXi doivent s’assurer que leurs données sont sauvegardées et doivent mettre à jour leurs installations ESXi vers une version fixe en cas d’urgence, sans attendre qu’un cycle de correctifs régulier se produise », a déclaré Caitlin Condon, chercheur chez Rapid7. « Les instances ESXi ne doivent pas être exposées à Internet dans la mesure du possible. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *