Talos Cyber Veille

Exploitation Massive ESXi – CVE-2021-21972,

CVE-2021-21973 et CVE-2021-21974

La suite Talos



La sécurité de nos clients est une priorité.

L’ensemble des outils de la suite Talos ne sont pas impactés par les CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974 qui affectent les produits ESXi.

Centre des opérations de sécurité

Qu’est ce que c’est ?


Nouvelle alerte de sécurité émise par la CERT-FR sur une vulnérabilité déjà identifiée et corrigée des serveurs VMWare.

Une campagne massive et globale d’attaque par ransomware cible les vulnérabilités CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974 pour lesquelles il existe un patch depuis
février 2021.

Cette faille de sécurité affecte le SLP (Service Location Protocol) de VMware ESXi, elle permet à un attaquant d’exécuter du code à distance sur l’hyperviseur et ainsi de
compromettre le serveur, puis de chiffrer les machines virtuelles pour exécuter un ransomware.

Impact


Prise de contrôle totale des serveurs infectés.

CVE-2021-21974 – CVSSv3 : 8.8 Important
Versions vulnérables :
ESXI versions 7.x antérieures à ESXi70U1c-17325551
ESXI versions 6.7.x antérieures à ESXi670-202102401-SG
ESXI versions 6.5.x antérieures à ESXi650-202102101-SG
Cloud Foundation (ESXi) versions 4.x antérieurs à la 4.2
Cloud Foundation (ESXi) versions 3.x antérieurs à la 3.10.1.2

CVE-2021-21972 – CVSSv3 : 9.8 Critique
Versions vulnérables :
vCenter Server versions 7.0 antérieures à la 7.0 U1c
vCenter Server versions 6.7 antérieures à la 6.7 U3I
vCenter Server versions 6.5 antérieures à la 6.5 U3n
Cloud Foundation (vCenter Server) versions 4.x antérieurs à la 4.2
Cloud Foundation (vCenter Server) versions 3.x antérieurs à la 3.10.1.2

CVE-2021-21973 – CVSSv3 : 5.5 Modérée
Versions vulnérables :
vCenter Server versions 7.0 antérieures à la 7.0 U1c
vCenter Server versions 6.7 antérieures à la 6.7 U3I
vCenter Server versions 6.5 antérieures à la 6.5 U3n
Cloud Foundation (vCenter Server) versions 4.x antérieurs à la 4.2
Cloud Foundation (vCenter Server) versions 3.x antérieurs à la 3.10.1.2

 

Identifier et s’en prémunir


Indicateurs de compromission (IOC) :
Vulnérabilité OpenSLP (port 427), utilisateur « dcui » utilisé pour exécuter la compromission
Clé publique déployée par le malware dans /tmp/public.pem
Fichiers cibles des machines virtuelles (« .vmdk », « .vmx », « .vmxf », « .vmsd », « .vmsn »,
« .vswp », « .vmss », ».nvram », « *.vmem »)
Le malware va tenter d’arrêter les machines virtuelles en tuant le processus VMX pour débloquer les fichiers

    Solutions à mettre en place :

    • Mettre à jour son hyperviseur VMware ESXI vers une version non vulnérable (Option optimale à effectuer avec prudence)
    • Désactiver le service SLP (OpenSLP) sur un hyperviseur avec une version vulnérable d’ESXI. (Procédure disponible sur le site VMware)

     Olympe Cyberdéfense et le Groupe FrameIP peuvent vous soutenir et vous accompagner dans ces démarches. N’hésitez pas à nous contacter.