Un bogue logiciel non corrigé présent dans les serveurs ESXi de VMWare est exploité par des pirates dans le but de propager des ransomwares à travers le monde.
Les serveurs VMWare non corrigés sont exploités par des pirates
Une vulnérabilité logicielle vieille de deux ans présente dans les serveurs ESXi de VMWare est devenue la cible d'une campagne de piratage généralisée. L'objectif de l'attaque est de déployer ESXiArgs, une nouvelle variante de ransomware. On estime que des centaines d'organisations ont été touchées.
L'équipe française d'intervention en cas d'urgence informatique (CERT) a publié une déclaration le 3 février, dans laquelle la nature des attaques a été discutée. Dans le Poste CERT, il était écrit que les campagnes "semblent avoir profité de l'exposition d'ESXi hyperviseurs qui n'ont pas été mis à jour avec des correctifs de sécurité assez rapidement." Le CERT a également noté que le bogue ciblé "permet à un attaquant d'effectuer une exploitation de code arbitraire à distance".
Les organisations ont été invitées à corriger la vulnérabilité de l'hyperviseur pour éviter d'être victimes de cette opération de ransomware. Cependant, le CERT a rappelé aux lecteurs dans la déclaration susmentionnée que "la mise à jour d'un produit ou d'un logiciel est une opération délicate opération qui doit être effectuée avec prudence" et qu'"il est recommandé d'effectuer des tests autant que possible possible."
VMWare a également parlé de la situation
Avec le CERT et diverses autres entités, VMWare a également publié un article sur cette attaque mondiale. Dans un Conseil VMware, il a été écrit que la vulnérabilité du serveur (connue sous le nom de CVE-2021-21974) pourrait donner aux acteurs malveillants la possibilité de "déclencher le problème de débordement de tas dans le service OpenSLP entraînant un code distant exécution."
VMWare a également noté avoir publié un correctif pour cette vulnérabilité en février 2021, qui peut être utilisé pour couper le vecteur d'attaque des opérateurs malveillants et ainsi éviter d'être ciblé.
Cette attaque ne semble pas être gérée par l'État
Bien que l'identité des attaquants de cette campagne ne soit pas encore connue, il a été déclaré par le National Cybersecurity italien Agency (ACN) qu'il n'y a actuellement aucune preuve suggérant que l'attaque a été menée par une entité étatique (comme l'a rapporté Reuter). Diverses organisations italiennes ont été touchées par cette attaque, ainsi que des organisations en France, aux États-Unis, en Allemagne et au Canada.
Des suggestions ont été faites quant à qui pourrait être responsable de cette campagne, avec des logiciels de divers familles de rançongiciels tels que BlackCat, Agenda et Nokoyawa, à l'étude. Le temps nous dira si l'identité des opérateurs peut être découverte.
Les attaques de ransomwares continuent de poser un risque majeur
Au fil des années, de plus en plus d'organisations sont victimes d'attaques de ransomwares. Ce mode de cybercriminalité est devenu incroyablement populaire parmi les acteurs malveillants, avec ce piratage mondial de VMWare montrant à quel point les conséquences peuvent être généralisées.
