il y a du nouveau :
https://www.lemagit.fr/actualites/365530753/ESXiArgs-le-ransomware-revient-avec-une-nouvelle-version

Cet exploit fonctionne en utilisant le service SLP.

Si tu n'as qu'une machine sur un hébergeur, le plus simple est de l'exposer sur Internet.

Effectivement, en regardant avec sodan.io, on trouve un paquet de ESXi exposés sur Internet, dans les plages IP des gros hébergeurs "bare metal" (OVH, Hetzner).

Et je ne parle pas de cet hébergeur PRO, avec 2000VM impactées https://x.com/FlorianLeroyFR/status/1621524448775143424

Même dans ce cas, il n'y a pas trop d'excuse.

Tu peux facilement mettre des règles firewall dans ESXi pour n'autoriser le trafic management (TOUT le trafic management) qu'avec des adresses IP de confiance.
L'hébergeur qui vend le "bare metal" peut également proposer un firewall.
On peut aussi mettre en place un réseau de management sur un VLAN isolé. Quitte à faire une porte d'accès via un serveur VPN sur un petit VPS (à 10€/mois) du même hébergeur.
Tous les hébergeurs "bare metal" proposent ça. Et ces options "Vrack / Vswitch" sont de moins en moins chères, voires "gratuites" (=intégrées dans le prix des serveurs), contrairement à ce qu'il se pratiquait il y a ~10 ans.

Donc oui, mettre des ESXi exposés sur Internet, et ne pas les patcher depuis 2 ans, c'est "joueur".

Leon.

J'ai lu que plus de 72% des serveurs ESXi attaqués sont hébergés chez OVHcloud.

=> https://www.channelnews.fr/plus-de-72-des-serveurs-esxi-attaques-sont-heberges-chez-ovhcloud-122067

Un article intéressant de GreyNoise qui explique ça.
https://www.greynoise.io/blog/exploit-vector-analysis-of-emerging-esxiargs-ransomware

La grosse majorité des serveurs ESXi 100% exposées, c'est effectivement chez OVH. Donc pas étonnant qu'OVH soit recordman de machines infectées par ESXiArgs.
OVH et Hetzner sont bien les 2 plus gros fournisseurs de serveurs bare-metal low-cost, avec des tarifs bien inférieurs à la concurrence, et aussi (c'est important) des machines en stock.

Après, est-ce que ces hébergeurs n'ont pas également une part de responsabilité dans ce genre de situation? Ils ont indéniablement un rôle d'éducation de leurs clients.
Donc ils pourraient très bien:
 - détecter en semi-automatique des machines ESXi exposées
 - informer le client qu'il prend de gros risque, surtout pour les clients qui achètent de grosses infrastructures
 - proposer des solutions quasi clef-en-main pour une installation ESXi, avec gestion de VLANs de management, plutôt que de laisser les clients bricoler.
 - proposer des tutoriels, des scripts, pour isoler proprement un ESXi dès l'installation, avec les spécificités des outils du cloud-provider.

Je ne connais pas les "us et coutumes" de ce marché, mais ça me semblerait sain comme démarche, de la part du "cloud provider".

Leon.

Non, il y a une raison plus profonde : OVH proposait une solution ESXi clés en main, pour des personnes qui n'ont aucune connaissance VMware.

Cela semble tourner à la catastrophe chez Hebergnity.com - Hébergeur de sites internet et de solutions web depuis 2017

On rigole avec ESXi mais j'ai +2000 VM down. Merci le ransomware VMware Nevada.

Nous avions développé notre système de création de VMs et d'installations des serveurs depuis un script fait maison et que celui-ci ne fonctionnait pas sur les versions ultérieures.
Pas la meilleure des excuses j'en ai conscience, mais vu le temps passé à trouver l'idée de comment fonctionne la création et la mise en place de celui-ci, nous avions pas vraiment envie de retravailler cela...

Source : @FlorianLeroyFR Directeur technique Hebergnity.com


Sur le tweeter officiel, je n'ai trouvé que ça : (le lien ne permet pas de voir si service fonctionne aujourd'hui)

[INTERVENTION] Les machines Hebergnity sont actuellement touchées parmi les victimes d'un virus VMware ESXi mondial. ☹️
Plus d'informations ici :
👉 https://hebergnity.com/esxi-nevada
Source : Twitter Hebergnity.com


Vous arrivez à lire le communiqué de presse ?

Hebergenity continue à parler de "Nevada", alors qu'on sait depuis 1 semaine que ça n'est pas Nevada qui est utilisé.
Le nouveau RansomWare c'est ESXiArgs .

J'aimerais bien savoir combien de serveurs ils ont chez OVH, mais ça doit être conséquent. 2000 VM, ça tient sur ~50 serveurs? Entre 5000 et 10 000€/mois, on est d'accord sur l'ordre de grandeur?
Effectivement, ils ont l’honnêteté de la franchise... Mais 50 serveurs exposés et pas à jour depuis 2 ans... C'est un cas d'école, qui sera dans les cours de sécurité informatique.

Leon.