Auteur Sujet: Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi  (Lu 7284 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 890
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #36 le: 14 février 2023 à 14:04:54 »
Je vois que Leon, tu arrives à lire le communiqué de presse.

J'ai donc testé avec Orange et cela passe (blocage systématique avec SFR).

Voici une copie d'écran pour ceux qui n'arrivent pas à y accéder : (il a été mis à jour aujourd'hui, les services ne sont toujours pas rétablis)



vivien

  • Administrateur
  • *
  • Messages: 47 890
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #37 le: 14 février 2023 à 14:21:50 »
Leur discord semble être en lecture seule, mais il y a des informations :



Effectivement certains nodes sont up, 11 jours après l'attaque :



Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 168
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #38 le: 14 février 2023 à 17:53:27 »
Donc HerbergNity aurait 2000 VM dans seulement 14 hosts!
140 VM par host...
Si c'est confirmé, c'est un sacré overbooking...

Donc des hosts "hyperconvergés" aussi haut de gamme, aussi critiques, exposés sur Internet, et pas à jour depuis 2 ans, c'est encore plus choquant.

Leon.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 618
  • Lyon 3 (69) / St-Bernard (01)
    • Twitter
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #39 le: 14 février 2023 à 18:23:01 »
Pour moi ça semble plutôt être du hosting d'entrée de gamme, et je connais certains presta en 5 lettres qui font bien pire comme contention :P

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 618
  • Lyon 3 (69) / St-Bernard (01)
    • Twitter
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #40 le: 15 février 2023 à 15:16:51 »

pju91

  • Abonné Free fibre
  • *
  • Messages: 929
  • 91
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #41 le: 15 février 2023 à 15:29:57 »
Et d'ailleurs, ça dit :
Citer
Cloudfordream ne rouvrira pas ses portes
qu'en pensent les clients ? Que leur proposera la maison mère

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 168
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #42 le: 15 février 2023 à 20:05:52 »
https://cloudfordream.com/
Nous pouvons désormais affirmer que le Ransomware n'a pas eu accès à vos données, l'attaque visait simplement à encrypter les disques de manière à rendre les données inaccessibles.

On est sur de ça? On a des preuves? Genre des honney-pot dont on aurait espionné le traffic management, et qui ne montrerait aucune exfiltration de donnée? Je n'ai pas souvenir d'avoir lu ce genre de certitude dans les quelques articles que j'ai lu sur ESXiArgs.

Leon.

vivien

  • Administrateur
  • *
  • Messages: 47 890
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #43 le: 15 février 2023 à 20:14:13 »
Je pense que c'est basé sur le trafic les derniers jours avant l'attaque : exporter des To, cela se voit.

Maintenant, l'attaquant peut récupérer 1 Go par-ci par là discrètement.

Autre point, la faille à deux ans, on ne sait pas depuis quand les attaquants ont pris le contrôle de l'ESXi.

C'est le gros problème : les données sont peut-être compromises sur les VM avant le chiffrement.

La leçon à retenir, c'est d'appliquer les mises à jour.

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 168
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #44 le: 15 février 2023 à 23:45:57 »
La leçon à retenir, c'est d'appliquer les mises à jour.
Pour moi, c'est trop restrictif d'incriminer juste un problème de mise à jour.
Ces hébergeurs semblent cumuler 3 problèmes majeurs
 - hyperviseurs pas à jour depuis 2 ans
 - pas d'isolation du réseau de management, alors même que les serveurs physiques utilisés (haut de gamme) ont une option "VLAN isolé" sans surcout (valable chez OVH et Hetzner). Donc aucune excuse.
 - probablement pas de réel "disaster recovery plan" / "PRA", testé. D'ailleurs, le site d'HebergNity ne fait mention d'aucun backup sur les offres VPS.

Avec seulement un des 3 manques corrigés, ils auraient certainement géré cette crise de manière beaucoup plus légère et indolore pour les clients.

Leon.

vivien

  • Administrateur
  • *
  • Messages: 47 890
    • Twitter LaFibre.info
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #45 le: 17 février 2023 à 07:59:38 »
Oui, tu as raison.

Certains sont énervés de telles lacunes de sécurité et ont remercié les auteurs de l'attaque :



Source : Twitter de Jean-Philippe SALLES

pju91

  • Abonné Free fibre
  • *
  • Messages: 929
  • 91
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
« Réponse #46 le: 17 février 2023 à 08:52:59 »
Certains sont énervés de telles lacunes de sécurité et ont remercié les auteurs de l'attaque
Les professionnels de l'IT nombreux ici ne peuvent pas se réjouir du malheur des "victimes", clients de ces fournisseurs.
En revanche, la négligence de certains, hébergeurs en particulier, est vraiment exaspérante.
Comme dit précédemment, ce sinistre était très largement évitable.