Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
Depuis le vendredi 03 février 2023, des campagnes d’attaques ciblent les hyperviseurs VMware ESXI. Les attaquants exploitent activement les vulnérabilités CVE-2020-3992 et CVE-2021-21974. Plusieurs pays sont déjà victimes à ce jour principalement la France, les États-Unis, le Canada, l’Allemagne et le Royaume-Uni.
D’après le bulletin d’alerte CERTFR-2023-ALE-015 du CERT-FR, les systèmes visés sont les hyperviseurs :
- ESXi versions 7.x antérieures à ESXi70U1c-17325551
- ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
- ESXi versions 6.5.x antérieures à ESXi650-202102101-SG
La vulnérabilité met en défaut le protocole SLP (Service Location Protocol), qui fournit un cadre permettant aux applications réseau de découvrir l’existence, l’emplacement et la configuration des services en réseau dans les réseaux d’entreprises.
Le service OpenSLP est utilisé par les hyperviseurs ESXi développe le protocole présentant une vulnérabilité de débordement de pile (heap-overflow). En effet, un acteur malveillant qui se trouve sur le même segment réseau que les hyperviseurs ESXi et qui a accès au port 427 peut provoquer un incident de débordement de pile dans le service OpenSLP, entraînant potentiellement l’exécution de code à distance.
Exploitation de la vulnérabilité pour déployer un Ransomware
Depuis plusieurs jours, la vulnérabilité est activement utilisée par une campagne de Ransomware. Plusieurs sources affirment qu’il s’agit du Ransomware Nevada sans pouvoir être explicite sur le sujet au niveau du CERT-CONIX. Le Ransomware a été baptisé ESXIArgs en attendant de trouver la souche de Ransomware qui a été utilisé pour cette campagne d’attaque.
De plus, il pourrait, sans être avéré, s’agir d’une campagne visant la déstabilisation de l’écosystème français.
Contre-mesures
Nous vous recommandons, conjointement aux recommandations de nos confrères CERT-FR, l’application, sans délai, du contournement proposé par VMWare dans son article de blog et qui consiste à désactiver le service SLP sur les hyperviseurs ESXi qui n’auraient pas été mis à jour.
Dans un cadre plus large, nos recommandations sont les suivantes :
- Analyser les hyperviseurs ESXi en recherchant les indicateurs de compromissions
- Appliquer régulièrement les mises à jour publiées par l’éditeur
- Bloquer l’utilisation du port 427 depuis les zones externes aux segments hébergeant hyperviseurs ESXi
- Durcir les hyperviseurs ESXi
- Réviser les architectures permettant l’hébergement des hyperviseurs ESXi afin de respecter les bonnes pratiques de cloisonnements aussi bien système que réseau.
Indicateurs de compromission
- Le protocole OpenSLP via le port 427
- Le chiffrement utilisant une clé publique déployée par le malware dans /tmp/public.pem
- Le processus de chiffrement cible les fichiers des machines virtuelles (.vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem) avec une extension .args
| IP | Network | Country | Intel Source |
| 104.152.52.55 | RETHEM-HOSTING | US | DeepDarkCTI Telegram Group |
| 43.130.10.173 | ACEVILLEPTELTD-SG | US | DeepDarkCTI Telegram Group |
| 193.37.255.114 | GLOBALAXS-MNT | SK | DeepDarkCTI Telegram Group |
| 80.82.77.139 | NET-1-77 | NL | DeepDarkCTI Telegram Group |
| 80.82.77.33 | NET-1-77 | NL | DeepDarkCTI Telegram Group |
| 71.6.135.131 | CARINET-5 | US | DeepDarkCTI Telegram Group |
| 71.6.199.23 | CARINET-5 | US | DeepDarkCTI Telegram Group |
| 185.165.190.17 | BlackHOST | US | DeepDarkCTI Telegram Group |
| 93.174.95.106 | NET-3-95 | NL | DeepDarkCTI Telegram Group |
| 185.165.190.34 | BlackHOST | US | DeepDarkCTI Telegram Group |
| 193.37.255.114 | M247-LTD-Bratislava | SK | DeepDarkCTI Telegram Group |
| 89.248.167.131 | NET-2-167 | NL | DeepDarkCTI Telegram Group |
| 185.142.236.35 | BlackHOST-CLOUD | NL | DeepDarkCTI Telegram Group |
| 185.142.236.36 | BlackHOST-CLOUD | NL | DeepDarkCTI Telegram Group |
| 185.142.236.34 | BlackHOST-CLOUD | NL | DeepDarkCTI Telegram Group |
| 195.144.21.56 | BlackHOST-CLOUD | AT | DeepDarkCTI Telegram Group |
| 71.6.167.142 | CARINET-5 | US | DeepDarkCTI Telegram Group |
| 193.163.125.138 | INTERNETMEASUREMENT-B | NL | AbuseIPDB |
| 146.0.75.2 | HOSTKEY-NET | NL | AbuseIPDB |
| 46.17.96.41 | HOSTKEY-NET | NL | AbuseIPDB |
| 178.62.44.152 | DIGITALOCEAN-LON-1 | UK | AbuseIPDB |
| 43.130.10.173 | ACEVILLEPTELTD-SG | US | AbuseIPDB |
| 104.152.52.55 | RETHEM-HOSTING | US | AbuseIPDB |
| 119.42.54.188 | ASN=AS133159 Mammoth Media Pty Ltd | AU | Alien Vault OTX |
| 152.32.219.120 | ASN=AS135377 UCLOUD INFORMATION TECHNOLOGY HK LIMITED | SG | Alien Vault OTX |
| 170.106.115.55 | ASN=AS132203 Tencent Building, Kejizhongyi Avenue | US | Alien Vault OTX |
| 172.105.73.148 | ASN=AS63949 Akamai Technologies, Inc. | DE | Alien Vault OTX |
| 192.241.196.48 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 192.241.200.36 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 192.241.202.27 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 192.241.223.35 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 192.241.239.28 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 198.199.103.238 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 91.134.185.83 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 91.134.185.88 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 92.154.95.236 | ASN=AS3215 Orange | FR | Alien Vault OTX |
| 103.75.201.219 | ASN=AS133496 CDN PLUS CO., LTD. | TH | Alien Vault OTX |
| 104.152.52.131 | ASN=AS14987 RETHEMHOSTING | US | Alien Vault OTX |
| 104.152.52.233 | ASN=AS14987 RETHEMHOSTING | US | Alien Vault OTX |
| 106.75.190.21 | ASN=AS58466 CHINANET Guangdong province network | CN | Alien Vault OTX |
| 106.75.64.29 | ASN=AS9808 China Mobile Communications Group Co., Ltd. | CN | Alien Vault OTX |
| 107.155.50.142 | ASN=AS135377 UCLOUD INFORMATION TECHNOLOGY HK LIMITED | US | Alien Vault OTX |
| 107.170.232.9 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 151.80.91.208 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.209 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.211 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.213 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.214 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.215 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.217 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.218 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.219 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.222 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 151.80.91.223 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 162.243.141.11 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 162.62.191.220 | ASN=AS132203 Tencent Building, Kejizhongyi Avenue | RU | Alien Vault OTX |
| 162.62.33.200 | ASN=AS132203 Tencent Building, Kejizhongyi Avenue | RU | Alien Vault OTX |
| 164.92.211.90 | ASN=AS14061 DIGITALOCEAN-ASN | NL | Alien Vault OTX |
| 170.106.115.253 | ASN=AS132203 Tencent Building, Kejizhongyi Avenue | US | Alien Vault OTX |
| 176.58.124.251 | ASN=AS63949 Akamai Technologies, Inc. | GB | Alien Vault OTX |
| 192.241.214.26 | ASN=AS14061 DIGITALOCEAN-ASN | US | Alien Vault OTX |
| 193.163.125.123 | ASN=AS211298 Constantine Cybersecurity Ltd. | GB | Alien Vault OTX |
| 193.163.125.138 | ASN=AS211298 Constantine Cybersecurity Ltd. | GB | Alien Vault OTX |
| 193.163.125.175 | ASN=AS211298 Constantine Cybersecurity Ltd. | GB | Alien Vault OTX |
| 193.163.125.207 | ASN=AS211298 Constantine Cybersecurity Ltd. | GB | Alien Vault OTX |
| 193.163.125.231 | ASN=AS211298 Constantine Cybersecurity Ltd. | GB | Alien Vault OTX |
| 193.163.125.248 | ASN=AS211298 Constantine Cybersecurity Ltd. | GB | Alien Vault OTX |
| 193.163.125.5 | ASN=AS211298 Constantine Cybersecurity Ltd. | GB | Alien Vault OTX |
| 193.163.125.66 | ASN=AS211298 Constantine Cybersecurity Ltd. | GN | Alien Vault OTX |
| 43.131.94.145 | ASN=AS132203 Tencent Building, Kejizhongyi Avenue | RU | Alien Vault OTX |
| 89.248.163.200 | ASN=AS202425 IP Volume inc | NL | Alien Vault OTX |
| 91.134.185.82 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 91.134.185.91 | ASN=AS16276 OVH SAS | FR | Alien Vault OTX |
| 152.89.196.211 | CY-STARCRECIUM-20220125 | RU | Lupovis |
[Mise à jour du 10 février 2023]
ESXIArgs : le ransomware devient plus robuste
Une nouvelle version de ESXIargs empêche la récupération des VMs infectées depuis mercredi 08 février. Avec une capacité de chiffrement plus large, elle permet de chiffrer des fichiers avec une plus grande taille. D’autre part, les premiers rapports affirment que l’attaque était liée à l’exploitation de la vulnérabilité du protocole SLP sur VMware, mais certaines victimes déclarent avoir été infectées malgré la désactivation de ce protocole. Nous manquons d’informations fiables permettant de lier ces incidents à cette campagne.
Dans sa version précédente et pour faire simple, le ransomware semblait chiffrer totalement les fichiers de moins de 128 Mo.
Pour les fichiers de plus grands en taille, il chiffrait par blocs de 1 Mo en laissant entre eux un « blanc » calculé avec la formule suivante : (taille en kilobits/1024/100) -1.
Ce qui ne permettait de chiffrer qu’une infirme partie des fichiers. Cela a permis de mettre en place une méthode de récupération des fichiers par un script publié par le CISA, l’équivalent de l’ANSSI aux États-Unis.
La nouvelle version d’ESXiargs rend plus complexe la récupération. Désormais, elle ne laisse que 1 Mo entre les blocs, chiffrant par conséquent plus de 50 % des fichiers présents sur un serveur. Il devient donc impératif de suivre les contre-mesures énoncées précédemment, mais surtout de mettre à jour son hyperviseur.