CERTFR-2023-ALE-015
Vulnerability from certfr_alerte

[Mise à jour du 10 février 2023]
Une nouvelle vague d’attaque démarrée le 8 février change la méthode de chiffrement permettant de chiffrer un plus grand volume de données dans les fichiers de grande taille rendant la restauration des données plus difficile voire impossible.

[Mise à jour du 05 février 2023] Mise à jour du résumé et de la section 'Solution'.

Le 03 février 2023, le CERT-FR a pris connaissance de campagnes d'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y déployer un rançongiciel.

Dans l'état actuel des investigations, ces campagnes d'attaque semblent avoir tiré parti de l'exposition d'hyperviseurs ESXi qui n'auraient pas été mis à jour des correctifs de sécurité suffisamment rapidement. En particulier, le service SLP semble avoir été visé, service pour lequel plusieurs vulnérabilités avaient fait l'objet de correctifs successifs (notamment les vulnérabilités CVE-2020-3992 et CVE-2021-21974, cf. section Documentation). Ces vulnérabilités permettent à un attaquant de réaliser une exploitation de code arbitraire à distance. Des codes d'exploitation sont disponibles en source ouverte depuis au moins mai 2021.

Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7.

Cependant, le CERT-FR rappelle que les vulnérabilités affectant SLP concernent les systèmes suivants :

  • ESXi versions 7.x antérieures à ESXi70U1c-17325551
  • ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
  • ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

Solution

[Mise à jour du 05 février 2023]

Le CERT-FR a la confirmation qu'il est possible de récupérer les disques des machines virtuelles lorsque les fichiers de configuration (.vmdk) sont chiffrés et renommés avec une extension .args. En effet, dans ce cas, le fichier contenant le disque virtuel (fichier -flat.vmdk) n'est pas chiffré. Plusieurs procédures testées avec succès sont documentées [1].

Le CERT-FR recommande fortement de :

  • isoler le serveur affecté ;
  • dans la mesure du possible, effectuer une analyse des systèmes afin de détecter tout signe de compromission [2], l'application seule des correctifs n'est pas suffisante, un attaquant a probablement déjà déposé un code malveillant ;
  • privilégier une réinstallation de l'hyperviseur dans une version supportée par l'éditeur (ESXi 7.x ou ESXi 8.x) ;
  • appliquer l'ensemble des correctifs de sécurité et de suivre les futurs avis de sécurité de l'éditeur ;
  • désactiver les services inutiles sur l'hyperviseur (tel que le service SLP [3]) ;
  • bloquer l'accès aux différents services d'administration, soit par un pare-feu dédié, soit par le pare-feu intégré à l'hyperviseur et mettre en œuvre un réseau local d'administration ainsi qu'une capacité d'administration distante si elle est requise (via réseau privé virtuel, VPN, ou, à défaut, par un filtrage des adresses IP de confiance).

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "",
  "closed_at": "2023-03-14",
  "content": "## Solution\n\n\\[Mise \u00e0 jour du 05 f\u00e9vrier 2023\\]\n\nLe CERT-FR a la confirmation qu\u0027il est possible de r\u00e9cup\u00e9rer les disques\ndes machines virtuelles lorsque les fichiers de configuration (*.vmdk*)\nsont chiffr\u00e9s et renomm\u00e9s avec une extension *.args.* En effet, dans ce\ncas, le fichier contenant le disque virtuel (fichier *-flat.vmdk*) n\u0027est\npas chiffr\u00e9. Plusieurs proc\u00e9dures test\u00e9es avec succ\u00e8s sont document\u00e9es\n\\[1\\].\n\nLe CERT-FR recommande fortement de :\n\n-   isoler le serveur affect\u00e9 ;\n-   dans la mesure du possible, effectuer une analyse des syst\u00e8mes afin\n    de d\u00e9tecter tout signe de compromission \\[2\\], l\u0027application seule\n    des correctifs n\u0027est pas suffisante, un attaquant a probablement\n    d\u00e9j\u00e0 d\u00e9pos\u00e9 un code malveillant ;\n-   privil\u00e9gier une r\u00e9installation de l\u0027hyperviseur dans une version\n    support\u00e9e par l\u0027\u00e9diteur (ESXi 7.x ou ESXi 8.x) ;\n-   appliquer l\u0027ensemble des correctifs de s\u00e9curit\u00e9 et de suivre les\n    futurs avis de s\u00e9curit\u00e9 de l\u0027\u00e9diteur ;\n-   d\u00e9sactiver les services inutiles sur l\u0027hyperviseur (tel que le\n    service *SLP* \\[3\\]) ;\n-   bloquer l\u0027acc\u00e8s aux diff\u00e9rents services d\u0027administration, soit par\n    un pare-feu d\u00e9di\u00e9, soit par le pare-feu int\u00e9gr\u00e9 \u00e0 l\u0027hyperviseur et\n    mettre en \u0153uvre un r\u00e9seau local d\u0027administration ainsi qu\u0027une\n    capacit\u00e9 d\u0027administration distante si elle est requise (*via* r\u00e9seau\n    priv\u00e9 virtuel, *VPN*, ou, \u00e0 d\u00e9faut, par un filtrage des adresses IP\n    de confiance).\n\n\u00a0\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d\u0027un produit ou d\u0027un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommand\u00e9\nd\u0027effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u0027application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n",
  "cves": [
    {
      "name": "CVE-2021-21974",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-21974"
    },
    {
      "name": "CVE-2020-3992",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-3992"
    }
  ],
  "initial_release_date": "2023-02-03T00:00:00",
  "last_revision_date": "2023-03-14T00:00:00",
  "links": [
    {
      "title": "[3] Proc\u00e9dure permettant de d\u00e9sactiver le service SLP",
      "url": "https://kb.vmware.com/s/article/76372"
    },
    {
      "title": "[1] Proc\u00e9dures de r\u00e9cup\u00e9ration des machines virtuelles",
      "url": "https://gist.github.com/MarianBojescu/da539a47d5eae29383a4804218ad7220"
    },
    {
      "title": "[2] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-145 du 24 f\u00e9vrier 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-145/"
    },
    {
      "title": "[1] Proc\u00e9dures de r\u00e9cup\u00e9ration des machines virtuelles",
      "url": "https://enes.dev"
    }
  ],
  "reference": "CERTFR-2023-ALE-015",
  "revisions": [
    {
      "description": "Version initiale.",
      "revision_date": "2023-02-03T00:00:00.000000"
    },
    {
      "description": "Clarification de la section \u0027Solution\u0027",
      "revision_date": "2023-02-03T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour de la section \u0027R\u00e9sum\u00e9\u0027 et de la section \u0027Solution\u0027",
      "revision_date": "2023-02-05T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour de la section \u0027Solution\u0027",
      "revision_date": "2023-02-10T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2023-03-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\\[Mise \u00e0 jour du 10 f\u00e9vrier\n2023\\]\u003c/span\u003e  \nUne nouvelle vague d\u2019attaque d\u00e9marr\u00e9e le 8 f\u00e9vrier change la m\u00e9thode de\nchiffrement permettant de chiffrer un plus grand volume de donn\u00e9es dans\nles fichiers de grande taille rendant la restauration des donn\u00e9es plus\ndifficile voire impossible.\n\n\\[Mise \u00e0 jour du 05 f\u00e9vrier 2023\\] Mise \u00e0 jour du r\u00e9sum\u00e9 et de la\nsection \u0027Solution\u0027.\n\nLe 03 f\u00e9vrier 2023, le CERT-FR a pris connaissance de campagnes\nd\u0027attaque ciblant les hyperviseurs VMware ESXi dans le but d\u0027y d\u00e9ployer\nun ran\u00e7ongiciel.\n\n\u003cspan style=\"text-decoration: underline;\"\u003eDans l\u0027\u00e9tat actuel des\ninvestigations\u003c/span\u003e, ces campagnes d\u0027attaque semblent avoir tir\u00e9 parti\nde l\u0027exposition d\u0027hyperviseurs ESXi qui n\u0027auraient pas \u00e9t\u00e9 mis \u00e0 jour\ndes correctifs de s\u00e9curit\u00e9 suffisamment rapidement. En particulier, le\nservice *SLP* semble avoir \u00e9t\u00e9 vis\u00e9, service pour lequel plusieurs\nvuln\u00e9rabilit\u00e9s avaient fait l\u0027objet de correctifs successifs (notamment\nles vuln\u00e9rabilit\u00e9s CVE-2020-3992 et CVE-2021-21974, cf. section\nDocumentation). Ces vuln\u00e9rabilit\u00e9s permettent \u00e0 un attaquant de r\u00e9aliser\nune exploitation de code arbitraire \u00e0 distance. Des codes d\u0027exploitation\nsont disponibles en source ouverte depuis au moins mai 2021.\n\nLes syst\u00e8mes actuellement vis\u00e9s seraient des hyperviseurs ESXi en\nversion 6.x et ant\u00e9rieures \u00e0 6.7.\n\nCependant, le CERT-FR rappelle que les vuln\u00e9rabilit\u00e9s affectant *SLP*\nconcernent les syst\u00e8mes suivants :\n\n-   ESXi versions 7.x ant\u00e9rieures \u00e0\u00a0ESXi70U1c-17325551\n-   ESXi\u00a0versions 6.7.x ant\u00e9rieures \u00e0\u00a0ESXi670-202102401-SG\n-   ESXi\u00a0versions 6.5.x ant\u00e9rieures \u00e0\u00a0ESXi650-202102101-SG\n\n\u00a0\n",
  "title": "[M\u00e0J] Campagne d\u0027exploitation d\u0027une vuln\u00e9rabilit\u00e9 affectant VMware ESXi",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 VMware VMSA-2020-0023 du 20 octobre 2020",
      "url": "https://www.vmware.com/security/advisories/VMSA-2020-0023.html"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 VMware VMSA-2021-0002 du 23 f\u00e9vrier 2021",
      "url": "https://www.vmware.com/security/advisories/VMSA-2021-0002.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.