Le problème : des serveurs VMWare non mis à jour

Il est difficile de passer à coté : Depuis le 3 février, la France (essentiellement) est victime d’une vague d’attaque de grande ampleur. Cette infections massives des serveurs VMWare français était pourtant prévisible pour de nombreuses raisons.

Cette attaque cible particulièrement certaines versions d’hyperviseurs VMWare ESXI hébergé en environnement Cloud. En France, sont concernés des organisations comme OVHCloud, Ikoula ou Skaleway.

Cette attaque par rançongiciel fait l’objet d’un avis du CERT (https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/). crypte vos données en utilisant une faille de VMware. Ce rançongiciel répondant au nom de ESXiArgs profite d’une faille de sécurité de VMware pour exécuter à distance un code malicieux entrainant l’installation de ce rançongiciel.

L’avis initial de VMware (identifié et pourtant corrigé en 2021) pour cette vulnérabilité indique qu’elle affecte les versions 7.0, 6.7 et 6.5 d’ESXi (et certainement des versions antérieures).

Infection massive : médaille d’or pour la France

Les chiffres des machines infectées impressionnent : La France est grande première des pays infectés avec 47,8 % des serveurs constatés, loin devant les États-Unis (15,7 %), le Canada (11,49 %), et l’Allemagne (11,1 %). Une médaille d’or dont notre pays se serait bien passé. Mais le plus important est que plus de 72 % des serveurs ESXi attaqués sont hébergés par OVHCloud. Onyphe recensait ainsi plus de 2000 serveurs infecté mais on est surement loin du compte :

La première raison de cette infection est un problème de mise à jour. Tous les serveurs infectés n’ont pas mis en place les correctifs de sécurité concernant une faille de sécurité vieille de deux ans. Mais ce n’est pas la seule raison. Comme nous allons le voir, l’exposition des serveurs sur l’Internet est aussi en cause

Infection de VMWare : aussi un problème de sécurisation

La faille non corrigée n’est pas le seul problème. Il y a aussi un problème d’exposition sans surveillance des accès des serveurs. Inutile donc de blâmer des hébergeurs comme OVHCloud.

S’il y a faute, elle en revient essentiellement aux nombreuses entreprises de services numériques qui ont construit leurs offres (souvent en marque blanche) en s’appuyant sur les infrastructures d’OVHcloud pour construire leurs propres services commerciales. S’agissant alors d’infrastructure de type “bare metal” (dont l’usage est strictement réservé au client), les hébergeurs comme OVHCloud n’ont alors pas la main sur ces machines et ne peut qu’alerter.

Ainsi, le fondateur d’Hebergnity, Florian Leroy, avouait sur Twitter avoir plus de 2000 machines VMWare hors services. Comment peut-on arriver à ce niveau d’infections. Florian Leroy le dit lui même sur Twitter :

Tout simplement car nous avions développé notre système de création de VMs et d’installations des serveurs depuis un script fait maison et que celui-ci ne fonctionnait pas sur les versions ultérieures. Pas la meilleure des excuses j’en ai conscience, mais vu le temps passé à trouver l’idée de comment fonctionne la création et la mise en place de celui-ci, nous avions pas vraiment envie de retravailler cela…

Twitter : https://twitter.com/FlorianLeroyFR/status/1621524448775143424?s=20&t=-jxkPf6JaVKOF3IN3UrcEg

Effectivement pas la meilleure des excuses. L’isolation des services, la mise en place de pare-feu et la configuration d’un bastion sont un minimum quand on gère un parc de cette importance. Mais force est de constater qu’en France, la sécurité ne semble pas la priorité de nombreuses ESN.

OVHCloud est attractif pour ses prix mais la sécurité sera de votre ressort et beaucoup ne le comprenne que maintenant.

Votre VMWare est infecté, que faut-il faire ?

La première chose est d’isoler votre serveur. Le laisser ouvert sur l’internet est une erreur de débutant. Il doit être totalement coupé d’internet le temps de corriger le problème et d’éviter une seconde attaque.

• Préparer un audit de vote système et des sécurités : il est important de découvrir l’ampleur de l’infection et aussi de revoir vos paramètres de sécurités
• En cas de doute, privilégier l’installation de nouveau serveur si possible dans une version supporté par l’éditeur, ici une version supérieur à 7.x
• Appliquer les correctifs de l’éditeur : une nouvelle fois, il est prouvé que l’application des mises à jour est une absolue nécessité.
• Désactiver les services inutiles sur l’hyperviseur (tel que le service SLP)
• Bloquer l’accès aux différents services d’administration. Comment peut-on aujourd’hui laissé un service totalement ouvert sur l’internet ? Même dans le cloud et surtout dans le cloud, il faut un minimum de sécurité. Configuré un réseau local d’administration, mettre en œuvre un pare-feu, configuré un VPN pour accéder aux ressources sensibles ou installer un bastion

Conclusion

Si demain, vous décidez de louer un local pour créer une bijouterie, jamais vous ne mettriez en place un simple film alimentaire en lieu et place de vitres anti intrusion. Et pourtant c’est exactement ce qu’on fait de nombreuses sociétés. Que ce soit des clients directs ou des acteurs intermédiaires proposant leurs services (j’hésite ici de parler de “professionnels”), tous ceux ayant subi l’attaque ont simplement laissé la porte grande ouverte en laissant leurs serveurs totalement exposé sur l’internet en plus de ne pas mettre à jour leurs systèmes.

Le cloud n’est pas un espace sécurisé. Les tâches essentielles sont les suivantes :

• Consolider et sécuriser sont infrastructure et ses accès.
• Effectuer des contrôles réguliers
• Mettre à jour son infrastructure régulièrement
• Installer les correctifs de sécurité
• Sauvegarder

Configurer correctement le son infrastructure cloud nécessite des compétences pointues et une rigueur dans la gestion des serveurs. Si vous n’avez pas les qualifications, pourquoi ne pas faire appel à un professionnel pour vous assister ?

Ylneo est disponible pour vous assister que ce soit dans le cadre d’un audit pour vérifier vos systèmes ou dans la mise en œuvre de votre environnement cloud sécurisé. N’hésitez pas à nous contacter.