Le CERT-FR a émis une nouvelle alerte de sécurité au sujet d'une campagne d'attaques par ransomware NEVADA qui cible les serveurs VMWare ESXi ! Une vulnérabilité déjà connue et déjà corrigée est exploitée par les cybercriminels !
Une nouvelle fois, les hyperviseurs sous VMware ESXi sont dans le viseur des cybercriminels ! Cette fois-ci, les campagnes d'attaques en cours ciblent la vulnérabilité CVE-2021-21974, pour laquelle il existe un patch depuis février 2021.
Il s'agit d'une faille de sécurité qui affecte le service Service Location Protocol (SLP) de VMware ESXi et qui permet à un attaquant d'exécuter du code à distance sur l'hyperviseur. En exploitant cette vulnérabilité, un attaquant peut compromettre le serveur et exécuter un ransomware dans le but de chiffrer les machines virtuelles.
![](/web/image/33140-2be66f91/attk%20%281%29.png)
Les serveurs actuellement ciblés tournent sur une version 6.x, antérieure à la version 6.7 et 7.0. Toutefois, le CERT-FR rappelle que cette vulnérabilité s'applique aux versions suivantes de VMware ESXi :
ESXi versions 7.x antérieures à ESXi70U1c-17325551
ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
ESXi versions 6.5.x antérieures à ESXi650-202102101-SG
Comment protéger son hyperviseur VMware ESXi ?
Pour se protéger contre les attaques visant à exploiter la faille CVE-2021-21974, il y a deux options:
Mettre à jour son hyperviseur VMware ESXi vers une version non vulnérable (option à privilégier mais à effectuer avec prudence)
Désactiver le service SLP (OpenSLP) sur un hyperviseur avec une version vulnérable d'ESXi