VMWare ESXi : le ransomware ESXi Args serait à l’origine de la campagne de cyber-attaque affectant les hyperviseurs ! (patch disponible depuis 2021…)

Actualités, Buzz du moment, Internet, Logiciels - Applications - OS, Sécurité

Le 23 Février 2021, VMWare publiait un correctif pour les solutions ESXi et vSphere Client (HTML5) : depuis le port 443, un individu malveillant pour exécuter des commandes du code distant sans restriction aucune de privilèges. Le 8 Décembre 2022, l’éditeur re-publiait un correctif pour combler une corruption de mémoire depuis un socket-réseau permettant une brèche (exploit) depuis la sandbox, pour les solutions ESXi et vCenter Server. Finalement et depuis le 3 Février 2023, le CERT-FR pointait une partie de ces vulnérabilités comme étant à l’origine d’une vaste campagne de cyber-attaque par ransomware.

Condensé des vulnérabilités (qui disposent toutes d’un patch correctif à appliquer, si ce n’est déjà fait !), par bulletin ou par période :

23 Février 2021 : CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974 ;

8 Décembre 2022 : CVE-2022-31696, CVE-2022-31697, CVE-2022-31698 et CVE-2022-31699.

Le CERT en précise les contours, en terme d’étendue, par version-logiciel :

“Dans l’état actuel des investigations, ces campagnes d’attaque semblent exploiter la vulnérabilité CVE-2021-21974, pour laquelle un correctif est disponible depuis le 23 février 2021. Cette vulnérabilité affecte le service Service Location Protocol (SLP) et permet à un attaquant de réaliser une exploitation de code arbitraire à distance. Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7. Cependant, le CERT-FR rappelle que la vulnérabilité CVE-2021-21974 affecte les systèmes suivants :

ESXi versions 7.x antérieures à ESXi70U1c-17325551,
ESXi versions 6.7.x antérieures à ESXi670-202102401-SG,
ESXi versions 6.5.x antérieures à ESXi650-202102101-SG“.

En plus du patch correctif, il est vivement recommandé d’effectuer une analyse-système approfondie pour détecter et supprimer “tout signe de compromission“, est-il ajouté.

Des acteurs technologiques ont été impacté par ce ransomware dont OVHCloud qui estime qu’il s’agirait du ransomware Nevada : concernant l’hébergeur, selon ses conclusions, le port OpenSLP 427 serait visé pour les versions des serveurs ESXi antérieures à 7.0 U3i. Il est indiqué un modus operandi, pour les administrateurs-système ou réseau dépendant des solutions OVH, pour rappeler comment identifier la version-serveur, depuis l’interface-système, par type de solution.

Selon les investigations de BleepingComputer, il s’agirait non-pas du ransomware Nevada mais d’un nouveau ransomware : nommée ESXiargs (du fait que des extensions de fichier .args, par contenu chiffré 32-bit RSA, aient été trouvées), il s’accompagne d’une note de rançon (.html) – similaire à Cheerscrypt – avec plusieurs indications (dont les modalités de paiement et la limite de temps) ainsi que certaines spécificités : “l’utilisation de l’algorithme Sosemanuk est plutôt unique et n’est généralement utilisée que dans les ransomwares dérivés du code source Babuk (variante ESXi). C’est peut-être le cas, mais ils l’ont modifié pour utiliser RSA au lieu de l’implémentation Curve25519 de Babuk“, selon le chercheur et analyste Michael Gillespie.

Une fois le script exécuté (Shell), une exécution-commande s’opère pour modifier la configuration-fichier ESXi (.vmx) pour changer les extensions .vmdk et .vswp en 1.vmdk et 1.vswp. D’autres détails font échos, de plus, à la porte dérobée personnalisée sous Python, mettant en lumière, depuis Octobre 2022, deux vulnérabilités : CVE-2019-5544 et CVE-2020-3992. Ces brèches s’opéraient depuis le port 427 mais, aussi, les ports 8008, 8307 pour tronquer le proxy-serveur. Concernant ESXiargs, il est recommandé, post-application des patchs, de vérifier que le fichier vmtools.py est supprimé (si ce n’est pas le cas, le supprimer immédiatement) : ce fichier, après exécution du script, jointages éventuels (par plusieurs extensions : aspiration, scan…) sera installé depuis /store/packages/ pour initier une porte dérobée… A veiller !

Sources :