Campagnes malveillantes contre les serveurs VMware ESXi

0
252

La vague d’attaque par ransomware qui vise actuellement des vulnérabilités du logiciel VMware ESXi poursuit son cours. Dirk Schrader, Resident CISO (EMEA) and VP of Security Research chez Netwrix, fait le commentaire suivant.

« La virtualisation est un élément essentiel de l’architecture informatique de nombreuses organisations. Selon Gartner, 97 % des entreprises de taille moyenne géreront un environnement hybride d’ici 2025. Il faut donc s’attendre à ce que les plateformes de virtualisation soient davantage attaquées si une vulnérabilité et un exploit le permettent.

La preuve de concept pour l’exploit du serveur ESXi a été publiée en juin 2021. Il a par conséquent fallu attendre presque 18 mois pour que les cybercriminels tirent profit de cette vulnérabilité. Les événements en cours peuvent être considérés comme un test assez réussi. Il est probable que des campagnes similaires continuent d’être lancées, répondant aux tentatives de déchiffrement comme celle publiée par CISA hier.

Jusqu’à présent, nous avons vu environ 1 600 serveurs ESXi exploités et chiffrés, selon les données Shodan et Censys. Ceux-ci étaient connectés à l’Internet public mais n’ont pas été corrigés pendant deux ans ; le correctif ayant été rendu public en février 2021. Nous pouvons nous attendre à de nouvelles violations, dans lesquelles les hackers auront préalablement infiltré le réseau afin d’exploiter la même vulnérabilité sur les installations ESXi non corrigées. L’objectif sera alors de causer des dégâts encore plus grands. La demande de rançon devrait également augmenter en parallèle. Il semblerait que les cybercriminels exigent actuellement l’équivalent d’environ 42 000 $ en bitcoins aux victimes. Or, toute infection se produisant à l’intérieur d’un réseau piraté est susceptible d’être plus coûteuse pour la victime au final.

Les attaques actuelles montrent une fois de plus la nécessité de rester diligent et vigilant quant à la mise à jour de l’infrastructure critique d’une organisation, même s’il ne s’agit pas d’un simple clic. Une bonne gestion des actifs aurait ainsi signalé la version obsolète. Les outils qui surveillent la configuration sécurisée d’un ESXi vérifient toute connexion Internet publique non protégée de ce serveur et tout port ouvert sur celui-ci. Même si les serveurs ESXi sont utilisés en interne et ne sont toujours pas corrigés, il est désormais incontournable de mettre à jour l’installation. Une analyse de vulnérabilité interne, basée sur le réseau, peut aider à identifier toute instance oubliée sur des serveurs ESXi obsolètes. »