Le 3 février 2023, une vague massive d’attaques par rançongiciels a été identifiée par le CERT-FR de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cette vague semble, d’après les informations relayées par la communauté informatique, reposer sur la CVE-2021-21974 pour lancer un ransomware ESXi. Cet article centralise des informations fournies par la sphère de la cybersécurité et fournit des éléments sur la détection et la neutralisation de cette menace.
Quand a démarré cette vague d’attaque par ransomware ESXi ?
Le 1er février 2023, une nouvelle version du ransomware Nevada a été publiée sur le site RAMP, en indiquant cibler les systèmes Windows et VMware Esxi.
Vendredi 3 février 2023 après-midi, de grands fournisseurs d’infrastructure Cloud français comme Scaleway, Ikoula, ou OVHCloud, ont publié des alertes d’attaque par ransomware portant sur des environnements VMware ESXi.
Le CERT-FR de l’ANSSI a rapidement réagi et confirmé cette vague d’attaque via l’alerte CERTFR-2023-ALE-015.
Comment se propage ce ransomware ESXi ?
En l’état des informations disponibles, il semble que ce rançongiciel se propage à l’aide de la vulnérabilité CVE-2021-21974, publiée et corrigée en février 2021.
D’après le CERT-FR, une autre CVE serait utilisée : la CVE-2020-3992, publiée et corrigée depuis le 20 octobre 2020. Son principe est proche de la CVE-2021-21974 et nous nous concentrerons donc sur cette dernière.
Note : le 8 février 2023, Lawrence Abrams de BleepingComputer a publié de nouvelles informations indiquant que certains ESXi auraient été corrompus sans même avoir exposé leur port SLP, ce qui signifierait dans ce cas que les CVE-2020-3992 et CVE-2021-21974 ne seraient pas les seules utilisées dans cette vague d’attaque.
Quel est le principe de la CVE-2021-21974 ?
La CVE-2021-21974 attaque le protocole « Service Location Protocol (SLP)« . Ce protocole sert notamment à la découverte de services partagés sur un réseau, comme des imprimantes. Sur ESXi, il est utilisé pour de la supervision.
Cette vulnérabilité est assez simple à attaquer dans la mesure où elle dispose d’exploits publics. Packet Storm fournit ainsi un kit d’attaque en Python. pour attaquer VMware ESXi 6.7.0 build-14320388 et VMware ESXi 6.7.0 build-16316930.
Il suffit de disposer d’un accès au port TCP 427 de l’ESXi, pour ensuite lancer l’attaque.
Quels sont les systèmes affectés par CVE-2021-21974 et pouvant être attaqués par ce ransomware ESXi ?
Sous réserve que seule la CVE-2021-21974 soit utilisée pour déployer cette attaque par rançongiciel, VMware indique dans son bulletin VMSA-2021-0002 que les systèmes suivants sont concernés :
| Produit | Branche | Vulnérable jusqu’à cette version exclue |
| VMware ESXi | 7.0 | ESXi70U1c-17325551 |
| VMware ESXi | 6.7 | ESXi670-202102401-SG |
| VMware ESXi | 6.5 | ESXi650-202102101-SG |
Comment corriger la CVE-2021-21974 ?
Les autorités et VMware recommandent de déployer les correctifs disponibles, à savoir :
- Correctif de sécurité VMware ESXi 7.0 Update 1c ESXi70U1c-17325551 (publié le 17 décembre 2020) ;
- Correctif de sécurité VMware ESXi 6.7 ESXi670-202102001 (publié le 23 février 2021) ;
- Correctif de sécurité VMware ESXi 6.5 ESXi650-202102001 (publié le 23 février 2021).
Dans le cas où l’application de ces correctifs serait impossible, VMware propose aussi de désactiver le service SLP sur l’environnement ESXi à l’aide de la documentation suivante.
Cyberwatch recommande d’installer les correctifs disponibles (idéalement les derniers fournis par VMware afin de traiter au passage des vulnérabilités plus récentes), de désactiver tout service non nécessaire au bon fonctionnement de votre système d’information, et de configurer votre réseau de sorte à masquer les ports non nécessaires aux différents utilisateurs.
Que faire si un ESXi a été chiffré lors de cette attaque ?
L’ANSSI recommande d’isoler le serveur affecté et de privilégier une réinstallation dans une branche récente supportée par VMware (ESXi 7.X ou 8.X).
De plus, dans certaines situations, les fichiers de configuration (fichiers VMDK) sont chiffrés et renommés dans un format ARGS. Dans ce cas, les fichiers de disques durs virtuels (XXX-flat.vmdk) ne sont pas chiffrés et il est possible de récupérer les données avec les procédures décrites sur le site d’Enes Sonmez et d’Ahmet Aykac ou le Gist de MarianBojescu.
En outre, le Cybersecurity and Infrastructure Security Agency (CISA) a publié un outil nommé ESXiArgs-Recover qui agrège des méthodes publiées par la communauté et facilite les tentatives de restauration.
Mise à jour du 9 février 2023 : d’après le forum de discussion de BleepingComputer, la méthode de chiffrement utilisée par le rançongiciel a été modifiée et rend dans ce cas l’opération de restauration impossible. Les méthodes proposées plus haut peuvent donc échouer en fonction du type de rançongiciel subi. Si une restauration est impossible, il faut malheureusement dans ce cas réinstaller tout l’ESXi et repartir de sauvegardes tierces éventuellement disponibles.
Quel est le groupe derrière cette attaque ?
Comment souvent, répondre à cette question est très difficile en sécurité informatique. Si certaines sources indiquaient que Nevada serait derrière cette attaque, l’analyse des messages de rançon semble indiquer qu’il s’agit d’un nouveau type de rançongiciel.
Comment scanner cette vulnérabilité automatiquement ?
Cyberwatch Vulnerability Manager analyse automatiquement vos environnements VMware ESXi à partir des informations fournies par VMware.
Nos clients peuvent ainsi directement retrouver les informations sur les actifs vulnérables de leur parc dans la fiche de la CVE-2021-21974 dans l’encyclopédie de Cyberwatch.
Mise à jour du 8 février 2023 : ajout de liens vers des méthodes de restauration des ESXi chiffrés
Mise à jour du 9 février 2023 : ajout d’éléments concernant la mutation potentielle de la vague d’attaque en cours