Vulnérabilité VMWare non corrigée utilisée par les pirates pour cibler les serveurs et propager les ransomwares

Un bogue logiciel non corrigé présent dans les serveurs ESXi de VMWare est exploité par des pirates dans le but de propager des ransomwares à travers le monde.

Les serveurs VMWare non corrigés sont abusés par des pirates

Une vulnérabilité logicielle vieille de deux ans présente dans les serveurs ESXi de VMWare est devenue la cible d’une campagne de piratage généralisée. L’objectif de l’attaque est de déployer ESXiArgs, une nouvelle variante de ransomware. On estime que des centaines d’organisations ont été touchées.

L’équipe française d’intervention en cas d’urgence informatique (CERT) a publié une déclaration le 3 février, dans laquelle la nature des attaques a été discutée. Dans le message du CERT , il était écrit que les campagnes « semblent avoir profité de l’exposition des hyperviseurs ESXi qui n’ont pas été mis à jour assez rapidement avec des correctifs de sécurité ». Le CERT a également noté que le bogue ciblé « permet à un attaquant d’effectuer une exploitation de code arbitraire à distance.

Les organisations ont été invitées à corriger la vulnérabilité de l’hyperviseur pour éviter d’être victimes de cette opération de ransomware. Cependant, le CERT a rappelé aux lecteurs dans le communiqué précité que « la mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être effectuée avec prudence » et qu' »il est recommandé d’effectuer des tests autant que possible ».

VMWare a également parlé de la situation

Avec le CERT et diverses autres entités, VMWare a également publié un article sur cette attaque mondiale. Dans un avis VMWare , il était écrit que la vulnérabilité du serveur (connue sous le nom de CVE-2021-21974) pourrait donner aux acteurs malveillants la possibilité de « déclencher le problème de débordement de tas dans le service OpenSLP entraînant l’exécution de code à distance ».

VMWare a également noté avoir publié un correctif pour cette vulnérabilité en février 2021, qui peut être utilisé pour couper le vecteur d’attaque des opérateurs malveillants et ainsi éviter d’être ciblé.

Cette attaque ne semble pas être gérée par l’État

Bien que l’identité des attaquants de cette campagne ne soit pas encore connue, l’Agence nationale italienne de la cybersécurité (ACN) a déclaré qu’il n’y a actuellement aucune preuve suggérant que l’attaque a été menée par une entité étatique (comme l’a rapporté Reuters ). Diverses organisations italiennes ont été touchées par cette attaque, ainsi que des organisations en France, aux États-Unis, en Allemagne et au Canada.

Des suggestions ont été faites quant à qui pourrait être responsable de cette campagne, avec des logiciels de diverses familles de rançongiciels tels que BlackCat, Agenda et Nokoyawa, à l’étude. Le temps nous dira si l’identité des opérateurs peut être découverte.

Les attaques de ransomwares continuent de poser un risque majeur

Au fil des années, de plus en plus d’organisations sont victimes d’attaques de ransomwares. Ce mode de cybercriminalité est devenu incroyablement populaire parmi les acteurs malveillants, avec ce piratage mondial de VMWare montrant à quel point les conséquences peuvent être généralisées.