L'hyperviseur ESXi au cœur du vSphere de VMware et donc au coeur de la majorité des infrastructures informatiques est devenu la cible privilégiée des attaques menées par les cybercriminels et de leurs plateformes RaaS.

Secu

DSI, attention à la multiplication des attaques contre ESXi

Par Laurent Delattre, publié le 15 mai 2023

Attaquer l’hyperviseur, et plus spécifiquement VMware ESXi … Voilà une nouvelle tendance cyber en passe de s’industrialiser ! Désormais, de telles attaques sont en effet directement proposées par les services malveillants de Ransomware as a Service (RaaS) du Dark Web.

Longtemps, portés par les discours marketing rassurants de VMware et par une tendance à sous-estimer l’imagination et le bagage technique des cyberattaquants, bien des DSI et RSSI ont considéré l’hyperviseur (le logiciel au cœur de la virtualisation matériel qui permet d’exécuter et gérer de multiples machines virtuelles ou VM sur un serveur) comme une forteresse et ont plutôt focalisé leur attention sur la défense des VM. Dans un récent billet de blog, les chercheurs de Crowdstrike rappellent que VMware continue d’affirmer qu’ « un logiciel antivirus n’est pas nécessaire sur l’hyperviseur vSphere et l’utilisation d’un tel produit n’est pas supportée ».

Considérés comme non directement exposés aux menaces internet et non dépendants d’un OS comme Linux ou Windows, les hyperviseurs comme VMware ESXi (le cœur de la plateforme vSphere de VMware) sont pourtant devenus ces trois dernières années de nouvelles cibles pour les attaquants. Car comme tout logiciel, un hyperviseur aussi embarque sa dose de vulnérabilités. Et leurs découvertes se sont multipliées ces derniers mois. Plus de 40 vulnérabilités ESXi sont connues et servent de portes d’entrée sur les serveurs vSphere non patchés.

À LIRE AUSSI :

Ces vulnérabilités sont d’autant plus dangereuses qu’un hyperviseur perverti peut avoir des conséquences dramatiques pour les données et applications hébergées dans toutes les VM exécutées par le serveur infecté. Certes, depuis vSphere 6.5, VMware a introduit un « VMX Sandboxing » pour éviter les attaques cherchant à échapper d’une VM pour en attaquer une autre. Si cette protection complexifie la tâche, elle reste largement à portée de cybercriminels financés par des états.

Des mauvaises pratiques qui perdurent malgré le danger

Néanmoins, parce que l’hyperviseur est le cœur des infrastructures modernes, bien des DSI tardent à les mettre à jour pour éviter tout risque de perturbation de l’activité. Une mauvaise pratique à laquelle il va falloir rapidement mettre fin.

Différents groupes malveillants ont en effet développé des versions Linux de ransomwares spécifiquement conçus pour attaquer ESXi. Crowdstrike explique que « bien qu’ESXi ne soit pas un système d’exploitation Linux à proprement parler, il est possible d’exécuter certains binaires ELF compilés sous Linux dans le shell de commande ESXi ». Et les cyberattaquants ne s’en privent pas pour ensuite exploiter les vulnérabilités de l’hyperviseur et y implanter leurs codes malveillants.

Des menaces chaque jour plus nombreuses

Désormais, Crowdstrike note que depuis 2023 la tendance est à l’intégration des mécanismes ciblant ESXi au cœur des plateformes de Ransomware-as-a-service telles que Alphv, Lockbit ou Defray. Le mois dernier, les chercheurs en cybersécurité de l’éditeur ont ainsi découvert un nouveau service RaaS exploitant les failles d’ESXi. Dénommé MichaelKors, ce nouveau ransomware (qui cible Windows, Linux et ESXi) vient s’ajouter à une liste de plus en plus longue qui comporte désormais plus d’une dizaine de familles de menaces : Outre les 4 déjà nommés, viennent s’ajouter Conti, REvil, ESXiArgs (qui a fait tant de dégâts en France en février dernier), Darkside, Play, Roork, Rorschach ou encore le récent Nevada. La liste ne cesse de s’allonger et doit désormais vraiment interpeler tous les DSI et RSSI. D’autant que bien des organisations exploitent désormais aussi VMware dans les clouds pour transférer plus aisément leurs Workloads et VMs vers le cloud.

Dans leur série de billets sur les attaques ESXi, les chercheurs livrent quelques conseils et bonnes pratiques pour limiter les risques. Ils recommandent ainsi d’éviter l’accès direct aux hôtes ESXi, d’utiliser systématiquement l’authentification à deux facteurs, de faire des sauvegardes régulières des volumes de données ESXi, d’appliquer les mises à jour de sécurité, d’effectuer des revues de posture de sécurité, de veiller à ce que les serveurs vCenter ne soient pas exposés à internet via les protocoles HTTP et SSH, etc. Autant de bonnes pratiques qui sont encore bien trop rarement mises en place.


Mise à jour du 17 mai 2023 : VMware réagit… mollement!

Suite à la publication de l’étude Crowdstrike, VMware a supprimé la page de support expliquant l’inutilité d’antivirus sur l’hyperviseur et précisant la mettre à jour prochainement avec des informations récentes.
Dans le même temps, l’éditeur a publié un billet de blog pour expliquer qu’il n’existait à sa connaissance aucune utilisation d’une faille “0-Day” sur son hyperviseur par les nouveaux services RaaS évoqués par Crowdstrile. Une bien drôle de façon d’expliquer que si les DSI / RSSI se font attaquer leur hyperviseur c’est parce qu’ils n’ont pas les derniers patchs, et donc pas mis à jour leur infrastructure VMware. Bref que c’est de leur faute… Pas forcément faux mais plutôt maladroit comme réponse…


Pour en savoir plus sur les bonnes pratiques :
Hypervisor Jackpotting, Part 3: Lack of Antivirus Support Opens the Door to Adversaries


À LIRE AUSSI :

Dans l'actualité