Vulnérabilité d’exécution de code à distance sur les hyperviseurs VMware ESXi

VMware ESXi est un hyperviseur qui permet de virtualiser des serveurs. Il est installé directement sur le matériel du serveur physique et fournit une couche de virtualisation pour héberger plusieurs machines virtuelles. Cela maximise l’utilisation du matériel, réduit les coûts opérationnels et améliore la continuité d’activité pour les administrateurs. 

Les hyperviseurs VMware ESXi sont actuellement sujets à une attaque qui vise à exploiter une vulnérabilité CVE2021-21974 qui permet à un attaquant de réaliser une exécution de code arbitraire à distance. Cette vulnérabilité affecte le service SLP (Service Location Protocol) et permet à un attaquant de réaliser une exploitation de code arbitraire à distance. Les attaquants ciblent activement les serveurs VMware ESXi non corrigés avec cette vulnérabilité d’exécution de code à distance vieille de deux ans pour déployer un ransomware. Le rançongiciel chiffre les fichiers avec les extensions .vmxf, .vmx, .vmdk, .vmsd et .nvram sur les serveurs ESXi compromis et crée un fichier .args pour chaque document chiffré avec des métadonnées (probablement nécessaires au déchiffrement).

Cette vulnérabilité est de sévérité Elevée et son score CVSSv3 est de 8,8.

RISQUES 

  • Possible exfiltration des données sensibles
  • Chiffrement des données personnelles
  • Accès à des fonctionnalités restreintes

SYSTEMES AFFECTÉS 

La vulnérabilité exploitée affecte les systèmes suivants:

  • ESXi versions 7.x antérieures à ESXi70U1c-17325551
  • ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
  • ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

MESURES À PRENDRE

Il est recommandé d’appliquer l’ensemble des correctifs disponibles pour l’hyperviseur ESXi. Néanmoins, il n’est pas garanti que l’attaquant n’ait pas déjà exploité cette vulnérabilité pour déployer du code malveillant sur la machine. Il est recommandé d’effectuer une analyse approfondie du système pour détecter tout signe de compromission. Une autre solution consiste à désactiver le service SLP ou fermer le Port 427 sur les hyperviseurs ESXi qui n’auraient pas été mis à jour.


Références