Ransomware : une vaste campagne d’attaques cible les serveurs VMware ESXi (copie)


La CISA a mis à jour son catalogue des vulnérabiliés connues et exploitées dans le but d'ajouter deux failles de sécurité de Veeam Backup & Replication, la célèbre solution de sauvegarde. Faisons le point. 

Considérées comme étant critiques (score CVSS v3 de 9,8 sur 10), ces deux failles de sécurité associées aux références CVE-2022-26500 et CVE-2022-26501, permettent à un attaquant non authentifié d'exécuter du code à distance dans le but de prendre le contrôle de la machine distante où est installée cette application. C'est le composant Veeam Distribution Service qui pose problème et qui donne accès à l'attaquant à des fonctions au travers d'une API. 

Ces vulnérabilités ne sont pas nouvelles puisqu'elles ont reçu un correctif de la part de Veeam en mars dernier, après avoir été découvertes par les chercheurs en sécurité de chez Positive Technologies. C'est une bonne nouvelle, d'autant plus que Veeam a corrigé en même temps deux autres vulnérabilités : CVE-2022-26503 et CVE-2022-26504. 

La CISA n'a pas donné de détails sur les techniques employées lors des attaques visant ces vulnérabilités. Toutefois, la menace est bien réelle puisque l'entreprise CloudSEK avait déjà reporté des attaques à ce sujet en octobre dernier. Un malware nommé "Veeamp" est évoqué ainsi qu'un dépôt GitHub contenant des scripts permettant de récupérer les mots de passe du gestionnaire d'identifiants de Veeam Backup & Replication.

Quelles sont les versions de Veeam Backup & Replication affectées par ces vulnérabilités ?

Pour se protéger contre les attaques visant à exploiter la faille CVE-2021-21974, il y a deux options:

𝐏𝐨𝐮𝐫 𝐩𝐥𝐮𝐬 𝐝’𝐢𝐧𝐟𝐨𝐫𝐦𝐚𝐭𝐢𝐨𝐧 𝐞𝐭 𝐬𝐮𝐩𝐩𝐨𝐫𝐭 𝐜𝐨𝐧𝐭𝐚𝐜𝐭𝐞𝐳-𝐧𝐨𝐮𝐬

Ransomware : une vaste campagne d’attaques cible les serveurs VMware ESXi