Attaque Cryptolocker – Vsphere 6.X

Récemment, plusieurs vulnérabilités critiques ont été découvertes dans VMware ESXi, qui est une plateforme de virtualisation populaire largement utilisée dans les environnements d’entreprise. Les vulnérabilités, désignées comme CVE-2022-31696, CVE-2022-31697, CVE-2022-31698 et CVE-2022-31699, peuvent potentiellement conduire à l’exécution de code à distance (RCE) sur les systèmes affectés.

Ces vulnérabilités permette à un Hacker d’exécuter du code arbitraire sur un hôte distant, compromettant potentiellement le système et conduisant à un vol de données et à d’autres activités malveillantes. Dans certains cas, l’attaquant peut même prendre le contrôle complet du système affecté, ce qui a un impact significatif sur la sécurité et la stabilité des systèmes affectés.

Les versions d’ESXi concernées sont 6.7 et 6.5. Il est important de noter que ces vulnérabilités ont été corrigées par VMware. Il est fortement recommandé aux utilisateurs de mettre à jour leurs systèmes dès que possible afin de réduire le risque d’exploitation. Pour se protéger davantage contre les attaques, il est également important de suivre les meilleures pratiques en matière de sécurité réseau et de maintenir tous les systèmes à jour avec les derniers correctifs de sécurité.

En conclusion, les récentes vulnérabilités d’ESXi soulignent l’importance de rester vigilant et proactif en matière de sécurité. En prenant les mesures nécessaires pour protéger vos systèmes et vos données, vous pouvez contribuer à assurer la sûreté et la sécurité de votre organisation.

Les versions ESXi suivantes sont vulnérables à CVE-2021-21974, selon l’avis de VMware :

    ESXi versions 7.x antérieures à ESXi70U1c-17325551
    ESXi versions 6.7.x avant ESXi670-202102401-SG
    ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

Les bulletins de sécurité ont noté que des versions antérieures d’ESXi semblent également avoir été compromises dans certains cas. Il est possible que les Hackers exploitent d’autres vulnérabilités.

Les équipes techniques OVH ont observés les éléments suivantes : 

   – les hackers utilisent la vulnérabilité OpenSLP qui pourrait être CVE-2021-21974. Les logs montrent que      l’utilisateur « dcui » est impliqué dans le processus de compromission.
   – Le chiffrement utilise une clé publique déployée par le malware dans /tmp/public.pem.
   – Le processus de chiffrement cible spécifiquement les fichiers de machines virtuelles (« .vmdk », « .vmx », « .vmxf », « .vmsd », « .vmsn », « .vswp », « .vmss », « .nvram », « *.vmem »)
   – Le malware tente d’arrêter les machines virtuelles en tuant le processus VMX pour débloquer les fichiers. Cette fonction ne fonctionne pas systématiquement comme prévu, ce qui fait que les fichiers restent verrouillés.
   – Le malware crée « argsfile » pour stocker les arguments passés au binaire de cryptage (nombre de Mo à sauter, nombre de Mo dans le bloc de cryptage, taille du fichier).
   – Aucune exfiltration de données ne s’est produite.
   – Dans certains cas, le cryptage des fichiers peut échouer partiellement, permettant à la victime de récupérer ses données.