Depuis le 3 février, des milliers de serveurs informatiques ont été la cible d’une attaque de ransomware visant le logiciel VMware ESXi. Si la faille était connue et corrigée depuis 2021 par l’éditeur, les victimes se comptent par milliers dans le monde. La France, l’Italie, les États-Unis et le Canada sont notamment concernés. Malgré la publication d’un correctif, l’attaque continue de se propager.
Dès le vendredi 3 février, le CERT-FR, dépendant de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et son homologue italien, relevant de l’Agence nationale de cybersécurité (ACN), ont alerté sur une vague d’attaques sous la forme d’un ransomware, exploitant une faille dans l’hyperviseur ESXi de VMware.
ESXi est un produit de virtualisation (bare-metal) qui fait partie de la gamme vSphere de VMware. Il est utilisé pour la création et la gestion de machines virtuelles, comme alternative peu coûteuse à la mise en place et l’exécution de serveurs physiques. Il permet ainsi d’exécuter plusieurs systèmes d’exploitation sur un hôte physique unique, optimisant l’utilisation des ressources matérielles et la flexibilité de l’infrastructure informatique.
L’attaque utilise une faille de sécurité connue sous le nom de CVE-2021-21974 et causée par un problème de dépassement de capacité du tas au sein du service OpenSLP, permettant à un attaquant d’exécuter du code arbitraire à distance. La cyberattaque a rendu inaccessible des jeux de données que les cybercriminels proposent de débloquer contre un paiement de 2 bitcoins, soit 42 000€ au cours actuel du marché.
La vulnérabilité était connue et corrigée par VMware depuis 2021, mais de nombreux clients n’avaient jusqu’à présent pas mis en œuvre les correctifs de sécurité.
Une attaque par dépassement de tas
Dans le bulletin « Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi » publié le 3 février, le CERT-FR alertait sur deux vulnérabilités spécifiques :
- CVE-2021-21974 de VMSA-2021-0002, soit la vulnérabilité de dépassement de tas d’ESXi OpenSLP. L’éditeur VMware explique que « un acteur malveillant disposant d’un accès réseau au port 443 peut exploiter ce problème pour exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent qui héberge vCenter Server ».
- CVE-2020-3992 de VMSA-2020-0023. Cette vulnérabilité d’exécution de code à distance ESXi OpenSLP permet à un acteur malveillant résidant dans le réseau de gestion qui a accès au port 427 sur une machine ESXi d’être en mesure de déclencher une utilisation après libération dans le service OpenSLP entraînant l’exécution de code à distance ».
Toutes les machines ESXi non corrigées (CVE-2021-21974) et exposées à Internet avec le port 427 sont vulnérables. La vulnérabilité affecte donc les systèmes suivants :
- VMware ESXi 6.5
- VMware ESXi 6.7
- VMware ESXi 7.0
- VMware Cloud Foundation (ESXi) 3.x
- VMware Cloud Foundation (ESXi) 4.x
L’exploitation de la vulnérabilité CVE-2021-21974 a permis l’exécution d’un script Shell chargé de déclencher l’exécutable responsable du chiffrement des données. Le ransomware a notamment ciblé des fichiers liés aux machines virtuelles, avec les extensions .vmxf, .vmx, .vmdk, .vmsd et .nvram sur les serveurs ESXi compromis. Le composant malveillant a ensuite créé un fichier .args pour chaque document chiffré contenant une série de métadonnées, nécessaires pour un déchiffrement après le paiement de la rançon.
Des victimes en Amérique du Nord et en Europe
Selon la plateforme de suivi de l’extorsion numérique Ransomwhere, près de 2 800 victimes auraient été touchées par ces cyberattaques, dont près de la moitié en France. Censys indique pour sa part que 3 800 serveurs VMware ESXi auraient été compromis. Ce nombre important s’explique par la nature même d’ESXi : comme ces serveurs fournissent des services à des milliers de machines virtuelles qu’ils hébergent, ce sont potentiellement plusieurs organisations qui sont touchées pour chaque serveur ESXi attaqué. La campagne d’attaque a ainsi ciblé des organisations en Europe (France, Italie, Allemagne, Royaume-Uni) mais aussi aux États-Unis et au Canada.
La vague d’attaques a frappé des serveurs appartenant à plusieurs universités selon Reuters, comme le Georgia Institute of Technology aux États-Unis, l’Université Rice à Houston, et des établissements d’enseignement supérieur en Hongrie et en Slovaquie. La Cour Suprême de Floride, aux Etats-Unis, a aussi été ciblée. En France, le MagIT indique que la ville de Biarritz, le groupe Sofimar ou encore l’application Ready4Sea ont été impactées.
Cette attaque peut d’ores et déjà être considérée comme l’une des plus grandes cyberattaques par ransomware jamais signalées sur des machines non-Windows.
Une remédiation déjà obsolète?
Pourtant, la faille avait été résolue par VMware dès février 2021. L’incident aurait donc pu être évité avec l’adoption d’une politique de gestion des correctifs de sécurité par les organisations touchées. Un tel mécanisme aurait permis d’identifier à temps le problème et de mettre à jour les systèmes VMware ESXi obsolètes.
La société a exhorté ses clients à installer les correctifs dès que possible, sur la vulnérabilité CVE-2021-21974, mais aussi sur d’autres vulnérabilités qui peuvent entraîner l’exécution de code à distance et qui ont été patchées par VMware en 2022. Dans son alerte, le CERT-FR a appuyé cette stratégie, appelant à « appliquer l’ensemble des correctifs disponibles pour l’hyperviseur ESXi ». Il recommande également « d’appliquer sans délai le contournement proposé par VMware qui consiste à désactiver le service SLP sur les hyperviseurs ESXi qui n’auraient pas été mis à jour ».
Enfin, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié sur son dépôt GitHub un script de récupération des machines virtuelles affectées par les attaques. Une fois les fichiers chiffrés par le ransomware supprimés par le script, celui tente de reconstruire le fichier .vmdk de la machine virtuelle, permettant l’enregistrement de cette dernière dans VMware ESXi.
Une attaque en évolution
Cependant, ce script pourrait déjà s’avérer inutile. Depuis le 10 février, une seconde salve d’attaques est menée contre les environnements ESXi de VMware. Une version renforcée du ransomware a été déployée par les cybercriminels, rendant inefficace le script de récupération publié par la CISA. La méthode de chiffrement a en effet été modifiée, permettant de chiffrer des quantités plus importantes de données. Cette mécanique rend difficile, voire impossible pour le script américain de créer une alternative propre. En outre, Bleeping Computer signale que le ransomware pourrait désormais fonctionner sur des systèmes sur lesquels SLP n’est pas active.
De plus Censys observe depuis le 11 février une augmentation sensible des compromissions, avec plus de 500 nouvelles machines touchées en quelques jours. Et ces machines sont situées en particulier en Europe, avec une majorité en France.
Ces constats tendent à démontrer que le mode opératoire de l’attaque évolue, et qu’il est possible que la solution de contournement initiale ne soit plus suffisante aujourd’hui.
Enfin GreyNoise s’est également intéressé à l’attaque, et conclue notamment que le vecteur d’exploitation initial de cette campagne ESXiArgs n’est pas forcément lié exclusivement aux CVE existantes. Ils indiquent aussi que des attaques ciblant ESX avaient été menées dès 2021.
Même s’il est difficile à ce stade d’être entièrement affirmatif, il existe donc une possibilité que d’autres vulnérabilités sur VMWare ESXi non divulguées existent et soient exploitées. Nous préconisons donc, en complément des recommandations déjà listées, de mettre les serveurs VMWare sous supervision, et de les isoler au maximum dans la mesure du possible.
Pour aller plus loin sur les ransomwares :
- Retrouvez notre infographie « Réagir à un ransomware en 5 étapes »
- Découvrez le retour d’expérience du CERT Advens suite à une intervention lors d’une attaque par Ransomware