Selon le BSI - Office fédéral de la sécurité de l'information, des milliers de serveurs exécutant la solution de virtualisation ESXi de VMware ont été infectés par des ransomwares et beaucoup ont également été chiffrés lors d'une attaque mondiale généralisée.
L'accent régional des attaques sur les serveurs VMware ESXi était sur la France, les États-Unis, l'Allemagne et le Canada - d'autres pays sont également touchés. Les auteurs ont profité d'une vulnérabilité connue de longue date dans le service OpenSLP de l'application, qui a déclenché un "débordement de tas" et a finalement permis l'exécution de code à distance. Il existe désormais un outil pour restaurer les serveurs chiffrés avec le rançongiciel ESXiArgs en fonction de la constellation de version et de correctifs VMware : l'ESXiArgs-Recover-Tool.
2 ans 8.8 grande vulnérabilité
La vulnérabilité elle-même - qui est répertoriée comme CVE-2021-21974 et classée "élevée" selon CVSS avec un niveau de gravité de 8.8 - fait l'objet d'un correctif du fabricant depuis février 2021. Le BSI avait déjà pointé la vulnérabilité critique à l'époque. Selon le BSI, des déclarations concrètes sur l'impact et l'étendue des dommages éventuels ne sont pas encore possibles. Le BSI analyse cet incident de sécurité informatique de manière intensive et est en contact avec ses partenaires internationaux.
Les entreprises italiennes en particulier ont été durement touchées par l'attaque du week-end. Selon divers médias, Telekom Italia TIM devrait également être touché par l'attaque. Dans certains cas, les performances Internet à travers le pays se seraient effondrées pendant une courte période. Mais d'autres pays et de nombreuses entreprises continuent d'avoir des problèmes. Dès 2021, des exploits recherchaient l'écart dans les serveurs ESXi et exécutaient des logiciels malveillants.
Déjà plus de 1.900 XNUMX serveurs ESXi infectés
La mise à jour arrive trop tard pour de nombreux administrateurs, car leurs serveurs VMware ESXi sont déjà chiffrés par un ransomware. Les entreprises qui ont encore cette vulnérabilité et qui n'ont pas encore été découvertes doivent corriger les serveurs immédiatement. Selon Check Point, plus de 1.900 XNUMX serveurs ESXi ont déjà été infectés, la plupart des victimes venant apparemment des fournisseurs de services OVH et Hetzner. Aussi le CERT, l'autorité française de cybersécurité, a déjà lancé un avertissement à toutes les entreprises et opérateurs de serveurs. Les instructions de sécurité pour corriger la vulnérabilité et la description des systèmes vulnérables sont disponibles auprès de VMware
En savoir plus sur la mise à jour du serveur sur VMware.com