{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"","closed_at":"2023-03-14","content":"## Solution\n\n\\[Mise \u00e0 jour du 05 f\u00e9vrier 2023\\]\n\nLe CERT-FR a la confirmation qu'il est possible de r\u00e9cup\u00e9rer les disques\ndes machines virtuelles lorsque les fichiers de configuration (*.vmdk*)\nsont chiffr\u00e9s et renomm\u00e9s avec une extension *.args.* En effet, dans ce\ncas, le fichier contenant le disque virtuel (fichier *-flat.vmdk*) n'est\npas chiffr\u00e9. Plusieurs proc\u00e9dures test\u00e9es avec succ\u00e8s sont document\u00e9es\n\\[1\\].\n\nLe CERT-FR recommande fortement de :\n\n-   isoler le serveur affect\u00e9 ;\n-   dans la mesure du possible, effectuer une analyse des syst\u00e8mes afin\n    de d\u00e9tecter tout signe de compromission \\[2\\], l'application seule\n    des correctifs n'est pas suffisante, un attaquant a probablement\n    d\u00e9j\u00e0 d\u00e9pos\u00e9 un code malveillant ;\n-   privil\u00e9gier une r\u00e9installation de l'hyperviseur dans une version\n    support\u00e9e par l'\u00e9diteur (ESXi 7.x ou ESXi 8.x) ;\n-   appliquer l'ensemble des correctifs de s\u00e9curit\u00e9 et de suivre les\n    futurs avis de s\u00e9curit\u00e9 de l'\u00e9diteur ;\n-   d\u00e9sactiver les services inutiles sur l'hyperviseur (tel que le\n    service *SLP* \\[3\\]) ;\n-   bloquer l'acc\u00e8s aux diff\u00e9rents services d'administration, soit par\n    un pare-feu d\u00e9di\u00e9, soit par le pare-feu int\u00e9gr\u00e9 \u00e0 l'hyperviseur et\n    mettre en \u0153uvre un r\u00e9seau local d'administration ainsi qu'une\n    capacit\u00e9 d'administration distante si elle est requise (*via* r\u00e9seau\n    priv\u00e9 virtuel, *VPN*, ou, \u00e0 d\u00e9faut, par un filtrage des adresses IP\n    de confiance).\n\n\u00a0\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommand\u00e9\nd'effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l'application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n","cves":[{"name":"CVE-2021-21974","url":"https://www.cve.org/CVERecord?id=CVE-2021-21974"},{"name":"CVE-2020-3992","url":"https://www.cve.org/CVERecord?id=CVE-2020-3992"}],"links":[{"title":"[3] Proc\u00e9dure permettant de d\u00e9sactiver le service SLP","url":"https://kb.vmware.com/s/article/76372"},{"title":"[1] Proc\u00e9dures de r\u00e9cup\u00e9ration des machines virtuelles","url":"https://gist.github.com/MarianBojescu/da539a47d5eae29383a4804218ad7220"},{"title":"[2] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-145 du 24 f\u00e9vrier 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-145/"},{"title":"[1] Proc\u00e9dures de r\u00e9cup\u00e9ration des machines virtuelles","url":"https://enes.dev"}],"reference":"CERTFR-2023-ALE-015","revisions":[{"description":"Version initiale.","revision_date":"2023-02-03T00:00:00.000000"},{"description":"Clarification de la section 'Solution'","revision_date":"2023-02-03T00:00:00.000000"},{"description":"Mise \u00e0 jour de la section 'R\u00e9sum\u00e9' et de la section 'Solution'","revision_date":"2023-02-05T00:00:00.000000"},{"description":"Mise \u00e0 jour de la section 'Solution'","revision_date":"2023-02-10T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2023-03-14T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<span style=\"color: #ff0000;\">\\[Mise \u00e0 jour du 10 f\u00e9vrier\n2023\\]</span>  \nUne nouvelle vague d\u2019attaque d\u00e9marr\u00e9e le 8 f\u00e9vrier change la m\u00e9thode de\nchiffrement permettant de chiffrer un plus grand volume de donn\u00e9es dans\nles fichiers de grande taille rendant la restauration des donn\u00e9es plus\ndifficile voire impossible.\n\n\\[Mise \u00e0 jour du 05 f\u00e9vrier 2023\\] Mise \u00e0 jour du r\u00e9sum\u00e9 et de la\nsection 'Solution'.\n\nLe 03 f\u00e9vrier 2023, le CERT-FR a pris connaissance de campagnes\nd'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y d\u00e9ployer\nun ran\u00e7ongiciel.\n\n<span style=\"text-decoration: underline;\">Dans l'\u00e9tat actuel des\ninvestigations</span>, ces campagnes d'attaque semblent avoir tir\u00e9 parti\nde l'exposition d'hyperviseurs ESXi qui n'auraient pas \u00e9t\u00e9 mis \u00e0 jour\ndes correctifs de s\u00e9curit\u00e9 suffisamment rapidement. En particulier, le\nservice *SLP* semble avoir \u00e9t\u00e9 vis\u00e9, service pour lequel plusieurs\nvuln\u00e9rabilit\u00e9s avaient fait l'objet de correctifs successifs (notamment\nles vuln\u00e9rabilit\u00e9s CVE-2020-3992 et CVE-2021-21974, cf. section\nDocumentation). Ces vuln\u00e9rabilit\u00e9s permettent \u00e0 un attaquant de r\u00e9aliser\nune exploitation de code arbitraire \u00e0 distance. Des codes d'exploitation\nsont disponibles en source ouverte depuis au moins mai 2021.\n\nLes syst\u00e8mes actuellement vis\u00e9s seraient des hyperviseurs ESXi en\nversion 6.x et ant\u00e9rieures \u00e0 6.7.\n\nCependant, le CERT-FR rappelle que les vuln\u00e9rabilit\u00e9s affectant *SLP*\nconcernent les syst\u00e8mes suivants :\n\n-   ESXi versions 7.x ant\u00e9rieures \u00e0\u00a0ESXi70U1c-17325551\n-   ESXi\u00a0versions 6.7.x ant\u00e9rieures \u00e0\u00a0ESXi670-202102401-SG\n-   ESXi\u00a0versions 6.5.x ant\u00e9rieures \u00e0\u00a0ESXi650-202102101-SG\n\n\u00a0\n","title":"[M\u00e0J] Campagne d'exploitation d'une vuln\u00e9rabilit\u00e9 affectant VMware ESXi","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 VMware VMSA-2020-0023 du 20 octobre 2020","url":"https://www.vmware.com/security/advisories/VMSA-2020-0023.html"},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 VMware VMSA-2021-0002 du 23 f\u00e9vrier 2021","url":"https://www.vmware.com/security/advisories/VMSA-2021-0002.html"}]}