VMware a déclaré lundi n’avoir trouvé aucune preuve que les acteurs de la menace exploitent une faille de sécurité inconnue, c’est-à-dire un jour zéro, dans son logiciel dans le cadre d’une vague d’attaques de ransomwares en cours dans le monde entier.
« La plupart des rapports indiquent que la fin du support général (EoGS) et/ou des produits considérablement obsolètes sont ciblés par des vulnérabilités connues qui ont été précédemment traitées et divulguées dans les avis de sécurité VMware (VMSA) », a déclaré le fournisseur de services de virtualisation. a dit.
La société recommande en outre aux utilisateurs de mettre à niveau vers les dernières versions prises en charge disponibles des composants vSphere pour atténuer les problèmes connus et désactiver le service OpenSLP dans ESXi.
« En 2021, ESXi 7.0 U2c et ESXi 8.0 GA ont commencé à être livrés avec le service désactivé par défaut », a ajouté VMware.
L’annonce intervient alors que les serveurs VMware ESXi non corrigés et non sécurisés du monde entier ont été ciblés dans un grande échelle campagne de rançongiciels surnommé ESXiArgs en exploitant probablement un bogue VMware de deux ans corrigé en février 2021.
La vulnérabilité, identifiée comme CVE-2021-21974 (score CVSS : 8,8), est une vulnérabilité de débordement de mémoire tampon OpenSLP qu’un acteur malveillant non authentifié peut exploiter pour obtenir l’exécution de code à distance.
Les intrusions semblent cibler les serveurs ESXi sensibles qui sont exposés à Internet sur le port OpenSLP 427, les victimes ayant pour instruction de payez 2,01 bitcoins (environ 45 990 $ au moment de la rédaction) pour recevoir la clé de cryptage nécessaire pour récupérer les fichiers. Aucune exfiltration de données n’a été constatée à ce jour.
Les données de GreyNoise montrent que 19 adresses IP uniques tentent d’exploiter la vulnérabilité ESXi depuis le 4 février 2023. 18 des 19 adresses IP sont classées comme bénignes, avec une seule exploitation malveillante enregistré des Pays-Bas.
« Les clients ESXi doivent s’assurer que leurs données sont sauvegardées et doivent mettre à jour leurs installations ESXi vers une version fixe en cas d’urgence, sans attendre qu’un cycle de correctifs régulier se produise », a déclaré Caitlin Condon, chercheuse chez Rapid7. a dit. « Les instances ESXi ne doivent pas être exposées à Internet dans la mesure du possible. »