Getty Images
Une explosion de cyberattaques infecte les serveurs du monde entier avec des rançongiciels paralysants en exploitant une vulnérabilité qui a été corrigée il y a deux ans, a-t-il été largement rapporté lundi.
Les hacks exploitent une faille dans ESXi, un hyperviseur que VMware vend aux hôtes cloud et à d’autres grandes entreprises pour consolider leurs ressources matérielles. ESXi est ce qu’on appelle un hyperviseur bare-metal ou de type 1, ce qui signifie qu’il s’agit essentiellement de son propre système d’exploitation qui s’exécute directement sur le matériel du serveur. En revanche, les serveurs exécutant la classe d’hyperviseurs de type 2 plus familière, tels que VirtualBox de VMware, s’exécutent en tant qu’applications sur un système d’exploitation hôte. Les hyperviseurs de type 2 exécutent ensuite des machines virtuelles qui hébergent leurs propres systèmes d’exploitation invités tels que Windows, Linux ou, moins fréquemment, macOS.
Entrez ESXiArgs
Des avis publiés récemment par des équipes d’intervention d’urgence informatique (CERT) en France, en Italie et en Autriche font état d’une campagne “massive” qui a commencé pas plus tard que vendredi et a pris de l’ampleur depuis lors. Citant les résultats d’une recherche sur le recensement, les responsables du CERT en Autriche ont déclaré qu’en date de dimanche, il y avait plus de 3 200 serveurs infectés, dont huit dans ce pays.
“Étant donné que les serveurs ESXi fournissent un grand nombre de systèmes en tant que machines virtuelles (VM), on peut s’attendre à un multiple de ce nombre de systèmes individuels affectés”, ont écrit les responsables.
La vulnérabilité exploitée pour infecter les serveurs est CVE-2021-21974, qui découle d’un dépassement de mémoire tampon basé sur le tas dans OpenSLP, une norme ouverte de découverte de réseau intégrée à ESXi. Lorsque VMware a corrigé la vulnérabilité en février 2021, la société a averti qu’elle pourrait être exploitée par un acteur malveillant ayant accès au même segment de réseau sur le port 427. La vulnérabilité avait un indice de gravité de 8,8 sur 10 possibles. le code d’exploitation et les instructions pour l’utiliser sont devenus disponibles quelques mois plus tard.
Publicité
Au cours du week-end, l’hébergeur cloud français OVH a déclaré qu’il n’avait pas la capacité de corriger les serveurs vulnérables mis en place par ses clients.
« ESXi OS ne peut être installé que sur des serveurs bare metal », écrit Julien Levrard, directeur de la sécurité de l’information chez OVH. « Nous avons lancé plusieurs initiatives pour identifier les serveurs vulnérables, sur la base de nos journaux d’automatisation pour détecter l’installation d’ESXI par nos clients. Nous avons des moyens d’action limités puisque nous n’avons aucun accès logique aux serveurs de nos clients.
Entre-temps, la société a bloqué l’accès au port 427 et avertit également tous les clients qu’elle identifie comme exécutant des serveurs vulnérables.
Levrard a déclaré que le ransomware installé dans les attaques chiffre les fichiers de la machine virtuelle, y compris ceux se terminant par .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram et .vmem. Le logiciel malveillant tente ensuite de déverrouiller les fichiers en mettant fin à un processus appelé VMX. La fonction ne fonctionne pas comme ses développeurs l’avaient prévu, ce qui fait que les fichiers restent verrouillés.
Les chercheurs ont surnommé la campagne et le ransomware derrière elle ESXiArgs parce que le malware crée un fichier supplémentaire avec l’extension « .args » après avoir crypté un document. Le fichier .args stocke les données utilisées pour déchiffrer les données chiffrées.
Des chercheurs de l’équipe technique de YoreGroup, Enes Sonmez et Ahmet Aykac, ont signalé que le processus de cryptage pour ESXiArgs peut faire des erreurs qui permettent aux victimes de restaurer des données cryptées. Levrard d’OVH a déclaré que son équipe avait testé le processus de restauration décrit par les chercheurs et qu’il avait réussi dans environ les deux tiers des tentatives.
Quiconque s’appuie sur ESXi doit arrêter tout ce qu’il fait et vérifier que les correctifs pour CVE-2021-21974 ont été installés. Les avis ci-dessus fournissent également plus de conseils pour verrouiller les serveurs qui utilisent cet hyperviseur.
