Auteur Sujet: Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (Lu 4876 fois)

vivien · « **Réponse #36 le:** 14 février 2023 à 14:04:54 »

Je vois que Leon, tu arrives à lire le communiqué de presse.

J'ai donc testé avec Orange et cela passe (blocage systématique avec SFR).

Voici une copie d'écran pour ceux qui n'arrivent pas à y accéder : (il a été mis à jour aujourd'hui, les services ne sont toujours pas rétablis)

vivien · « **Réponse #37 le:** 14 février 2023 à 14:21:50 »

Leur discord semble être en lecture seule, mais il y a des informations :

Effectivement certains nodes sont up, 11 jours après l'attaque :

Leon · « **Réponse #38 le:** 14 février 2023 à 17:53:27 »

Donc HerbergNity aurait 2000 VM dans seulement 14 hosts!
140 VM par host...
Si c'est confirmé, c'est un sacré overbooking...

Donc des hosts "hyperconvergés" aussi haut de gamme, aussi critiques, exposés sur Internet, et pas à jour depuis 2 ans, c'est encore plus choquant.

Leon.

Hugues · « **Réponse #39 le:** 14 février 2023 à 18:23:01 »

Pour moi ça semble plutôt être du hosting d'entrée de gamme, et je connais certains presta en 5 lettres qui font bien pire comme contention

Hugues · « **Réponse #40 le:** 15 février 2023 à 15:16:51 »

Un de plus : https://cloudfordream.com/

pju91 · « **Réponse #41 le:** 15 février 2023 à 15:29:57 »

Et d'ailleurs, ça dit :

Citer

Cloudfordream ne rouvrira pas ses portes

qu'en pensent les clients ? Que leur proposera la maison mère

Leon · « **Réponse #42 le:** 15 février 2023 à 20:05:52 »

https://cloudfordream.com/
Nous pouvons désormais affirmer que le Ransomware n'a pas eu accès à vos données, l'attaque visait simplement à encrypter les disques de manière à rendre les données inaccessibles.

On est sur de ça? On a des preuves? Genre des honney-pot dont on aurait espionné le traffic management, et qui ne montrerait aucune exfiltration de donnée? Je n'ai pas souvenir d'avoir lu ce genre de certitude dans les quelques articles que j'ai lu sur ESXiArgs.

Leon.

vivien · « **Réponse #43 le:** 15 février 2023 à 20:14:13 »

Je pense que c'est basé sur le trafic les derniers jours avant l'attaque : exporter des To, cela se voit.

Maintenant, l'attaquant peut récupérer 1 Go par-ci par là discrètement.

Autre point, la faille à deux ans, on ne sait pas depuis quand les attaquants ont pris le contrôle de l'ESXi.

C'est le gros problème : les données sont peut-être compromises sur les VM avant le chiffrement.

La leçon à retenir, c'est d'appliquer les mises à jour.

Leon · « **Réponse #44 le:** 15 février 2023 à 23:45:57 »

Citation de: vivien le 15 février 2023 à 20:14:13

La leçon à retenir, c'est d'appliquer les mises à jour.

Pour moi, c'est trop restrictif d'incriminer juste un problème de mise à jour.
Ces hébergeurs semblent cumuler 3 problèmes majeurs
- hyperviseurs pas à jour depuis 2 ans
- pas d'isolation du réseau de management, alors même que les serveurs physiques utilisés (haut de gamme) ont une option "VLAN isolé" sans surcout (valable chez OVH et Hetzner). Donc aucune excuse.
- probablement pas de réel "disaster recovery plan" / "PRA", testé. D'ailleurs, le site d'HebergNity ne fait mention d'aucun backup sur les offres VPS.

Avec seulement un des 3 manques corrigés, ils auraient certainement géré cette crise de manière beaucoup plus légère et indolore pour les clients.

Leon.

vivien · « **Réponse #45 le:** 17 février 2023 à 07:59:38 »

Oui, tu as raison.

Certains sont énervés de telles lacunes de sécurité et ont remercié les auteurs de l'attaque :

Source : Twitter de Jean-Philippe SALLES

pju91 · « **Réponse #46 le:** 17 février 2023 à 08:52:59 »

Citation de: vivien le 17 février 2023 à 07:59:38

Certains sont énervés de telles lacunes de sécurité et ont remercié les auteurs de l'attaque

Les professionnels de l'IT nombreux ici ne peuvent pas se réjouir du malheur des "victimes", clients de ces fournisseurs.
En revanche, la négligence de certains, hébergeurs en particulier, est vraiment exaspérante.
Comme dit précédemment, ce sinistre était très largement évitable.