Auteur Sujet: Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi  (Lu 7337 fois)

0 Membres et 1 Invité sur ce sujet

pju91

  • Abonné Free fibre
  • *
  • Messages: 934
  • 91
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #24 le: 05 février 2023 à 09:35:41 »
Je pense que les attaques évoquées par vivien contre des établissements de santé, ou bien la tentative dont a été victime Gnubyte, ont cherché à profiter d'un "facteur humain", que ça soit au travers d'un mail mal filtré, d'une page web frauduleuse, ou même d'un support externe.
Dans ce milieu où par ailleurs les "interactions" avec le monde extérieur sont très nombreuses, la population importante d'intervenants ayant recours obligatoirement à l'informatique pour accomplir leurs missions, qu'ils soient permanents, contractuels, intérimaires, prestataires, etc, ne permet pas de les former suffisamment à la méfiance, à la vigilance, à la conduite à tenir en cas de doute.
Je n'évoque pas ici le sous-investissement "technique". Une des victimes citées par vivien m'indiquait (alors que son établissement fonctionnait encore en mode dégradé) que la modernisation du SI se ferait sur un calendrier nettement raccourci par rapport au plan initial.

rooot

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 2 209
  • 🔵🔵🔵🔵⚪⚪⚪⚪🔴🔴🔴🔴

thedark

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5 510
  • Réseau Covage
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #26 le: 10 février 2023 à 17:52:00 »
Citer
Modification de la méthode de chiffrement rendant la restauration des données difficile voire impossible.

Source: https://x.com/CERT_FR/status/1624085352582459396

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 171
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #27 le: 14 février 2023 à 07:14:19 »
Cet exploit fonctionne en utilisant le service SLP.

Si tu n'as qu'une machine sur un hébergeur, le plus simple est de l'exposer sur Internet.
Effectivement, en regardant avec sodan.io, on trouve un paquet de ESXi exposés sur Internet, dans les plages IP des gros hébergeurs "bare metal" (OVH, Hetzner).

Et je ne parle pas de cet hébergeur PRO, avec 2000VM impactées https://x.com/FlorianLeroyFR/status/1621524448775143424

Même dans ce cas, il n'y a pas trop d'excuse.

Tu peux facilement mettre des règles firewall dans ESXi pour n'autoriser le trafic management (TOUT le trafic management) qu'avec des adresses IP de confiance.
L'hébergeur qui vend le "bare metal" peut également proposer un firewall.
On peut aussi mettre en place un réseau de management sur un VLAN isolé. Quitte à faire une porte d'accès via un serveur VPN sur un petit VPS (à 10€/mois) du même hébergeur.
Tous les hébergeurs "bare metal" proposent ça. Et ces options "Vrack / Vswitch" sont de moins en moins chères, voires "gratuites" (=intégrées dans le prix des serveurs), contrairement à ce qu'il se pratiquait il y a ~10 ans.

Donc oui, mettre des ESXi exposés sur Internet, et ne pas les patcher depuis 2 ans, c'est "joueur".

Leon.
« Modifié: 14 février 2023 à 07:44:43 par Leon »

vivien

  • Administrateur
  • *
  • Messages: 47 916
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #28 le: 14 février 2023 à 08:21:57 »
J'ai lu que plus de 72% des serveurs ESXi attaqués sont hébergés chez OVHcloud.

=> https://www.channelnews.fr/plus-de-72-des-serveurs-esxi-attaques-sont-heberges-chez-ovhcloud-122067

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 171
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #29 le: 14 février 2023 à 08:51:06 »
J'ai lu que plus de 72% des serveurs ESXi attaqués sont hébergés chez OVHcloud.

=> https://www.channelnews.fr/plus-de-72-des-serveurs-esxi-attaques-sont-heberges-chez-ovhcloud-122067
Un article intéressant de GreyNoise qui explique ça.
https://www.greynoise.io/blog/exploit-vector-analysis-of-emerging-esxiargs-ransomware

La grosse majorité des serveurs ESXi 100% exposées, c'est effectivement chez OVH. Donc pas étonnant qu'OVH soit recordman de machines infectées par ESXiArgs.
OVH et Hetzner sont bien les 2 plus gros fournisseurs de serveurs bare-metal low-cost, avec des tarifs bien inférieurs à la concurrence, et aussi (c'est important) des machines en stock.

Après, est-ce que ces hébergeurs n'ont pas également une part de responsabilité dans ce genre de situation? Ils ont indéniablement un rôle d'éducation de leurs clients.
Donc ils pourraient très bien:
 - détecter en semi-automatique des machines ESXi exposées
 - informer le client qu'il prend de gros risque, surtout pour les clients qui achètent de grosses infrastructures
 - proposer des solutions quasi clef-en-main pour une installation ESXi, avec gestion de VLANs de management, plutôt que de laisser les clients bricoler.
 - proposer des tutoriels, des scripts, pour isoler proprement un ESXi dès l'installation, avec les spécificités des outils du cloud-provider.

Je ne connais pas les "us et coutumes" de ce marché, mais ça me semblerait sain comme démarche, de la part du "cloud provider".

Leon.
« Modifié: 14 février 2023 à 10:34:38 par Leon »

pju91

  • Abonné Free fibre
  • *
  • Messages: 934
  • 91
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #30 le: 14 février 2023 à 09:02:57 »
Après, est-ce que ces hébergeurs n'ont pas également une part de responsabilité dans ce genre de situation? Ils ont indéniablement un rôle d'éducation de leurs clients.
Sans vouloir remuer le couteau dans la plaie : OVH n'avait peut-être pas non plus "éduqué" ses clients sur la lecture des lignes du contrat d'hébergement concernant la localisation des backups ...

vivien

  • Administrateur
  • *
  • Messages: 47 916
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #31 le: 14 février 2023 à 09:29:41 »
Non, il y a une raison plus profonde : OVH proposait une solution ESXi clés en main, pour des personnes qui n'ont aucune connaissance VMware.

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 171
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #32 le: 14 février 2023 à 11:09:39 »
Un truc que pourrait faire OVH à minimum : supprimer la mention "OS supporté : VMWARE-ESXi" pour toutes les gammes de serveurs bare-metal qui n'ont pas de Vrack.
Sur des serveurs bare-metal sans VRack, je ne vois pas trop comment on peut isoler le réseau de management, à moins de faire des bidouilles scabreuses à base de serveur VPN interne.

Leon.

vivien

  • Administrateur
  • *
  • Messages: 47 916
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #33 le: 14 février 2023 à 12:46:15 »
Cela semble tourner à la catastrophe chez Hebergnity.com - Hébergeur de sites internet et de solutions web depuis 2017

On rigole avec ESXi mais j'ai +2000 VM down. Merci le ransomware VMware Nevada.

Nous avions développé notre système de création de VMs et d'installations des serveurs depuis un script fait maison et que celui-ci ne fonctionnait pas sur les versions ultérieures.
Pas la meilleure des excuses j'en ai conscience, mais vu le temps passé à trouver l'idée de comment fonctionne la création et la mise en place de celui-ci, nous avions pas vraiment envie de retravailler cela...


Source : @FlorianLeroyFR Directeur technique Hebergnity.com


Sur le tweeter officiel, je n'ai trouvé que ça : (le lien ne permet pas de voir si service fonctionne aujourd'hui)

[INTERVENTION] Les machines Hebergnity sont actuellement touchées parmi les victimes d'un virus VMware ESXi mondial. ☹️
Plus d'informations ici :
👉 https://hebergnity.com/esxi-nevada

Source : Twitter Hebergnity.com


Vous arrivez à lire le communiqué de presse ?

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 875
  • Delta S 10G-EPON sur Les Ulis (91)
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #34 le: 14 février 2023 à 13:17:42 »
Au moins, il y a une certaine franchise...

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 171
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #35 le: 14 février 2023 à 13:29:17 »
Hebergenity continue à parler de "Nevada", alors qu'on sait depuis 1 semaine que ça n'est pas Nevada qui est utilisé.
Le nouveau RansomWare c'est ESXiArgs .

J'aimerais bien savoir combien de serveurs ils ont chez OVH, mais ça doit être conséquent. 2000 VM, ça tient sur ~50 serveurs? Entre 5000 et 10 000€/mois, on est d'accord sur l'ordre de grandeur?
Effectivement, ils ont l’honnêteté de la franchise... Mais 50 serveurs exposés et pas à jour depuis 2 ans... C'est un cas d'école, qui sera dans les cours de sécurité informatique.

Leon.