Auteur Sujet: Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi  (Lu 6248 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 542
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi



On a vu dans le passé que de grosses attaques ont eu lieu avec des failles corrigées depuis plusieurs mois.

L'attaque de ce jour, que certains attribuent à la Russie, est de ce type. C'est une faille affectant VMware ESXi corrigée fin 2020 et redue publique début 2021.




vivien

  • Administrateur
  • *
  • Messages: 47 542
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #2 le: 03 février 2023 à 21:32:49 »
Certains disent que les VMware ESXi en langue russe ne sont pas touchés :


Source : https://x.com/ProcessusT/status/1621545044569120770

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 535
  • Lyon (69) / St-Bernard (01)
    • Twitter
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #3 le: 03 février 2023 à 21:52:51 »
Correctif sorti en 2021.

Ceux qui n'ont pas daigné patcher entre temps sont les uniques responsables de leur malheur, on ne laisse pas un hyperviseur avec une IP publique sans mises à jour pendant deux ans.

C'est de la sélection naturelle quoi :P

vivien

  • Administrateur
  • *
  • Messages: 47 542
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #4 le: 03 février 2023 à 22:00:42 »
Correctif sorti en 2021.
Même pas, les correctifs pour 6.7 et 7.0 sont sortis fin 2020.

Versions corrigées :
- vCenter Server 7.0 : 7.0 U1c du 17 décembre 2020
- vCenter Server 6.7 : 6.7 U3l du 19 novembre 2020
- vCenter Server 6.5 : 6.5 U3n du 23 février 2021

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #5 le: 03 février 2023 à 22:28:09 »
on ne laisse pas un hyperviseur avec une IP publique sans mises à jour pendant deux ans.

Heh, pour un industriel, on ne patch/reboot jamais un système qui fonctionne... "L'uptime du serveur est de 4 ans, si on le reboot, y'a une grande chance qu'il redémarre pas, et on peut pas se permettre de perdre notre SCADA".
Certains mettent ca derrière des VPN et firewalls, d'autres, hm.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 535
  • Lyon (69) / St-Bernard (01)
    • Twitter
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #6 le: 03 février 2023 à 22:36:18 »
Oui enfin un hyperviseur c'est justement fait pour faire une couche d'abstraction entre ton applicatif et le matériel, c'est pas vraiment une excuse

vivien

  • Administrateur
  • *
  • Messages: 47 542
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #7 le: 04 février 2023 à 08:15:23 »
Pour gérer le serveur par défaut qui distribue les mises à jour Ubuntu pour la France, je vois un pourcentage stable de version obsolète d'Ubuntu qui sont demandées.

Statistiques d'hier :

Bielorusse320

  • Abonné Bbox fibre
  • *
  • Messages: 57
  • Villefranche sur Saone
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #8 le: 04 février 2023 à 09:50:01 »
Je suis vraiment surpris par la proportion de personnes qui utilisent une LTS : plus des 2/3 sont en 20.04 ou en 22.04 et à peine 2% en 22.10 (alors que j’installe moi même des LTS…).

vivien

  • Administrateur
  • *
  • Messages: 47 542
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #9 le: 04 février 2023 à 10:49:02 »
Oui, il y a plus d'utilisateurs d'Ubuntu 14.04 que de la dernière version d'Ubuntu (22.10).

Ubuntu 14.04 est sortie en avril 2014 et sans mise à jour, sauf à avoir pris ESM qui à l'époque n'était pas gratuit.
Pour la quasi-totalité de ces Ubuntu 14.04, le support s'est arrêté le 25 avril 2019, elles ont donc un nombre de failles énormes, pourtant ces PC ou serveurs sont bien connectés à Internet vu que je reçois les demande de mise à jour.

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #10 le: 04 février 2023 à 11:07:28 »
Oui enfin un hyperviseur c'est justement fait pour faire une couche d'abstraction entre ton applicatif et le matériel, c'est pas vraiment une excuse

On est d'accord, mais dans certains milieu avec lequel je travaille (energie notamment) ils ne le voient pas comme ca.

Les machines industrielles déployées dans des centrales/sous stations sont considérées comme des gros automates ou appliances plus qu'autre chose. On ne fait pas d'upgrade in place, on upload une VM patchée (et normalement testée et validée en labo, quoi qu'encore...) sur l'hyperviseur, on démarre la nouvelle VM, on bascule l'applicatif et on éteint l'ancienne VM.

Vu qu'on ne peut pas faire ca avec l'hyperviseur et que bien souvent, il n'y a qu'une seule machine physique sur site pour des raisons de coût... l'hyperviseur (et l'OS hote, quand il y en a un) n'est jamais patché.

Ce sont des milieux qui considèrent le réseau comme un sanctuaire, une zone sécurisée, dans laquelle rien de bien grave ne peut se produire. Pas facile de faire changer les mentalités :)

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #11 le: 04 février 2023 à 11:14:10 »
Je suis vraiment surpris par la proportion de personnes qui utilisent une LTS : plus des 2/3 sont en 20.04 ou en 22.04 et à peine 2% en 22.10 (alors que j’installe moi même des LTS…).

La promesse de la LTS, c'est qu'une fois installée, tu as des mises à jour pendant 5 ans (au moins, tu peux avoir plus avec un contrat avec Canonical) et normalement pas de casse après une upgrade du fait de nouvelles versions incompatibles d'un soft. Ca convient tout à fait à l'attente des entreprises, dont l'IT a peur du moindre changement.

Je ne l'ai pas vu de moi même, mais on m'a déjà dit plusieurs fois que dans la banque ou le gouvernement, ca tourne souvent sous RHEL4...