Les opérateurs de ransomware sont connus pour exploiter diverses vulnérabilités, en particulier dans les campagnes contre les entreprises et les organisations. Tel est le cas avec deux vulnérabilités dans le produit VMWare ESXi, inclus dans les attaques d'au moins un gang de ransomwares de premier plan.
Ces attaques sont liées au groupe derrière le ransomware RansomExx.
RansomExx a été analysé en novembre de l'année dernière par des chercheurs de Kaspersky lorsqu'ils ont rencontré des attaques ciblant des systèmes Linux.. L'équipe a découvert un exécutable ELF 64 bits conçu pour crypter les données sur les machines exécutant Linux.
L'analyse a montré que le ransomware partageait de nombreuses similitudes avec une famille précédemment connue appelée RansomExx, prouvant que le ransomware a reçu une version Linux. RansomExx cible les grandes entreprises et est considéré comme «un cheval de Troie très ciblé».
Les opérateurs RansomExx utilisent les bogues VMWare CVE-2019-5544 & CVE-2020-3992
De nouvelles recherches suggèrent maintenant que les opérateurs RansomExx utilisent maintenant CVE-2019-5544 et CVE-2020-3992 dans VMware ESXi. Cet appareil VMWare est un hyperviseur permettant à plusieurs machines virtuelles de partager le même stockage sur disque dur. Curieusement, nous avons écrit sur l'une de ces deux failles en novembre, lorsque le bulletin de sécurité officiel a été rendu public. La vulnérabilité CVE-2020-3992 a été découverte dans la fonctionnalité OpenSLP de VMware ESXi.
ESXi est un hyperviseur qui utilise un logiciel pour partitionner les processeurs, Mémoire, espace de rangement, et des ressources réseau dans plusieurs VM (machines virtuelles). Cette faille a été causée par l'implémentation d'OpenSLP dans ESXi, provoquant une utilisation après (UAF) problème. Les vulnérabilités UAF proviennent généralement d'une utilisation incorrecte de la mémoire dynamique pendant le fonctionnement d'un programme. Plus précisement, Si un programme n'efface pas le pointeur vers la mémoire après avoir libéré un emplacement mémoire, un attaquant peut exploiter le bogue.
Quant à CVE-2019-5544, "Un acteur malveillant avec un accès réseau au port 427 sur un hôte ESXi ou sur n'importe quelle appliance de gestion Horizon DaaS peut être en mesure d'écraser le tas du service OpenSLP entraînant l'exécution de code à distance," VMWare expliqué dans le conseil.
Les deux failles pourraient aider un attaquant sur le même réseau à envoyer des requêtes SLP malveillantes à un appareil ESXi vulnérable. L'attaquant pourrait alors en prendre le contrôle.
Il y a des indications que le gang de ransomwares Babuk Locker mène également des attaques basées sur un scénario similaire. Cependant, ces attaques n'ont pas encore été confirmées.
Que doivent faire les administrateurs système pour éviter toute attaque?
Si votre entreprise utilise les appareils VMWare ESXi, vous devez appliquer les patchs corrigeant les deux défauts immédiatement. Une autre façon d'éviter les exploits consiste à désactiver le support SLP.