L’hyperviseur ESXi de VMware est la cible d’attaquants qui cherchent à exploiter une vulnérabilité vieille de deux ans pour déployer un ransomware. Ces attaques ont été détectées en Amérique du Nord et dans plusieurs pays européens, la France étant en première ligne avec l’Allemagne et le Canada. Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (Cert-FR) a émis un bulletin d’alerte le vendredi 3 février. Plusieurs hébergeurs dont OVHcloud, Scaleway et Ikoula ont également averti en urgence leurs clients.

Selon les investigations du Cert-FR, les attaques semblent exploiter la vulnérabilité CVE-2021-21974, qui permet de réaliser une exploitation de code à distance et pour laquelle un correctif est disponible depuis le 23 février 2021. L’organisme préconise d’appliquer le contournement proposé par VMware, à savoir désactiver le service SLP, affecté par la vulnérabilité, sur les hyperviseurs non mis à jour. Il est recommandé d’appliquer l’ensemble des correctifs disponibles et d’effectuer une analyse des systèmes afin de détecter tout signe de compromission.

Selon le moteur de recherche Shodan, au moins 120 serveurs ont déjà été compromis dont 45 en France. OVHcloud a supposé vendredi que l’attaque était liée au Nevada Ransomware mais a reconnu dans une mise à jour que l’hypothèse était infondée. Il pourrait donc s’agir d’une nouvelle famille de ransomware. Comme le ransomware crée un fichier .args pour chaque document crypté, certains experts font référence à lui sous le nom « ESXiArgs » rapporte le site Bleepingcomputer.

Dans un message publié dimanche, OVHcloud souligne que ses moyens d’actions sont limités faute d’accès logique aux serveurs bare metal de ses clients. L’hébergeur a envoyé des messages d’avertissement aux clients concernés dès vendredi et a bloqué par mesure de précaution le OpenSLP (port 427) entre internet et les serveurs ESXi. Il a aussi lancé l’analyse pour identifier les hôtes compromis.

« Notre équipe de support est entièrement mobilisée pour aider nos clients à protéger leurs systèmes et à récupérer s’ils sont touchés par l’attaque », déclare l’hébergeur roubaisien.

Nos lecteurs ont lu ensuite


Pas de crise de la trentaine pour les ransomwares
L’évolution des ransomwares   Trente ans après le premier ransomware[1], ce type de logiciels malveillants chiffrant les données de leurs victimes jusqu’à l’obtention d’une rançon a toujours le vent en poupe. En 2017, les ransomwares...

20 années d’attaques DDoS
Arbor Networks, la division sécurité de Netscout, résume 20 années d’attaques DDoS ciblant la disponibilité des réseaux des fournisseurs d’accès Internet (FAI). En septembre 1996, le premier FAI de New York, Panix, a été frappé...

WannaCry est à nouveau sur le devant de la scène
L’attaque du Ransomware WannaCry a fêté son quatrième anniversaire après avoir fait des ravages dans le monde. Les chercheurs de Check-Points ont noté une augmentation de 53 % du nombre d’organisations affectées par le Ransomware.  ...

VMware s’engage sur une stratégie multi-cloud
A l’occasion de l’édition 2016 de VMworld qui se tient actuelle à Las Vegas, VMWare dévoile une nouvelle architecture multicloud baptisé VMWare Cross Cloud Services et supportant les clouds d’AWS, de Microsoft et d’IBM. VMware...

Log4Shell : une vulnérabilité de gravité maximale sur Apache log4j
Est-ce « la plus grande vulnérabilité de la dernière décennie, voire de l’histoire de l’informatique moderne », comme l’indique le PDG de Tenable, Amit Yoran ? La bibliothèque de journalisation Apache log4j contient une faille critique CVE-2021-44228, surnommée...