Auteur Sujet: Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (Lu 4816 fois)

vivien · « **le:** 03 février 2023 à 21:27:44 »

Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi

On a vu dans le passé que de grosses attaques ont eu lieu avec des failles corrigées depuis plusieurs mois.

L'attaque de ce jour, que certains attribuent à la Russie, est de ce type. C'est une faille affectant VMware ESXi corrigée fin 2020 et redue publique début 2021.

vivien · « **Réponse #1 le:** 03 février 2023 à 21:30:35 »

Le bulletin d'alerte de Cert de ce soir : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/

Documentation :
- Bulletin de sécurité VMware VMSA-2021-0002 du 23 février 2021
- Avis de sécurité CERT-FR CERTFR-2021-AVI-145 du 24 février 2021
- Référence CVE CVE-2021-21974

[1] Procédure permettant de désactiver le service SLP
[2] Les bons réflexes en cas d’intrusion sur un système d’information

vivien · « **Réponse #2 le:** 03 février 2023 à 21:32:49 »

Certains disent que les VMware ESXi en langue russe ne sont pas touchés :

Source : https://twitter.com/ProcessusT/status/1621545044569120770

Hugues · « **Réponse #3 le:** 03 février 2023 à 21:52:51 »

Correctif sorti en 2021.

Ceux qui n'ont pas daigné patcher entre temps sont les uniques responsables de leur malheur, on ne laisse pas un hyperviseur avec une IP publique sans mises à jour pendant deux ans.

C'est de la sélection naturelle quoi

vivien · « **Réponse #4 le:** 03 février 2023 à 22:00:42 »

Citation de: Hugues le 03 février 2023 à 21:52:51

Correctif sorti en 2021.

Même pas, les correctifs pour 6.7 et 7.0 sont sortis fin 2020.

Versions corrigées :
- vCenter Server 7.0 : 7.0 U1c du 17 décembre 2020
- vCenter Server 6.7 : 6.7 U3l du 19 novembre 2020
- vCenter Server 6.5 : 6.5 U3n du 23 février 2021

simon · « **Réponse #5 le:** 03 février 2023 à 22:28:09 »

Citation de: Hugues le 03 février 2023 à 21:52:51

on ne laisse pas un hyperviseur avec une IP publique sans mises à jour pendant deux ans.

Heh, pour un industriel, on ne patch/reboot jamais un système qui fonctionne... "L'uptime du serveur est de 4 ans, si on le reboot, y'a une grande chance qu'il redémarre pas, et on peut pas se permettre de perdre notre SCADA".
Certains mettent ca derrière des VPN et firewalls, d'autres, hm.

Hugues · « **Réponse #6 le:** 03 février 2023 à 22:36:18 »

Oui enfin un hyperviseur c'est justement fait pour faire une couche d'abstraction entre ton applicatif et le matériel, c'est pas vraiment une excuse

vivien · « **Réponse #7 le:** 04 février 2023 à 08:15:23 »

Pour gérer le serveur par défaut qui distribue les mises à jour Ubuntu pour la France, je vois un pourcentage stable de version obsolète d'Ubuntu qui sont demandées.

Statistiques d'hier :

Bielorusse320 · « **Réponse #8 le:** 04 février 2023 à 09:50:01 »

Je suis vraiment surpris par la proportion de personnes qui utilisent une LTS : plus des 2/3 sont en 20.04 ou en 22.04 et à peine 2% en 22.10 (alors que j’installe moi même des LTS…).

vivien · « **Réponse #9 le:** 04 février 2023 à 10:49:02 »

Oui, il y a plus d'utilisateurs d'Ubuntu 14.04 que de la dernière version d'Ubuntu (22.10).

Ubuntu 14.04 est sortie en avril 2014 et sans mise à jour, sauf à avoir pris ESM qui à l'époque n'était pas gratuit.
Pour la quasi-totalité de ces Ubuntu 14.04, le support s'est arrêté le 25 avril 2019, elles ont donc un nombre de failles énormes, pourtant ces PC ou serveurs sont bien connectés à Internet vu que je reçois les demande de mise à jour.

simon · « **Réponse #10 le:** 04 février 2023 à 11:07:28 »

Citation de: Hugues le 03 février 2023 à 22:36:18

Oui enfin un hyperviseur c'est justement fait pour faire une couche d'abstraction entre ton applicatif et le matériel, c'est pas vraiment une excuse

On est d'accord, mais dans certains milieu avec lequel je travaille (energie notamment) ils ne le voient pas comme ca.

Les machines industrielles déployées dans des centrales/sous stations sont considérées comme des gros automates ou appliances plus qu'autre chose. On ne fait pas d'upgrade in place, on upload une VM patchée (et normalement testée et validée en labo, quoi qu'encore...) sur l'hyperviseur, on démarre la nouvelle VM, on bascule l'applicatif et on éteint l'ancienne VM.

Vu qu'on ne peut pas faire ca avec l'hyperviseur et que bien souvent, il n'y a qu'une seule machine physique sur site pour des raisons de coût... l'hyperviseur (et l'OS hote, quand il y en a un) n'est jamais patché.

Ce sont des milieux qui considèrent le réseau comme un sanctuaire, une zone sécurisée, dans laquelle rien de bien grave ne peut se produire. Pas facile de faire changer les mentalités

simon · « **Réponse #11 le:** 04 février 2023 à 11:14:10 »

Citation de: Bielorusse320 le 04 février 2023 à 09:50:01

Je suis vraiment surpris par la proportion de personnes qui utilisent une LTS : plus des 2/3 sont en 20.04 ou en 22.04 et à peine 2% en 22.10 (alors que j’installe moi même des LTS…).

La promesse de la LTS, c'est qu'une fois installée, tu as des mises à jour pendant 5 ans (au moins, tu peux avoir plus avec un contrat avec Canonical) et normalement pas de casse après une upgrade du fait de nouvelles versions incompatibles d'un soft. Ca convient tout à fait à l'attente des entreprises, dont l'IT a peur du moindre changement.

Je ne l'ai pas vu de moi même, mais on m'a déjà dit plusieurs fois que dans la banque ou le gouvernement, ca tourne souvent sous RHEL4...