Une vague majeure de cyberattaques par ransomware est en train de déferler un peu partout dans le monde et met en alerte de nombreuses agences nationales en sécurité informatique. C'est le cas notamment en France et en Italie, sachant que la Finlande, les Etats-Unis ou encore le Canada font partie des pays où ce type d'attaques a explosé. Leur point commun ? Exploiter une vulnérabilité dans les systèmes embarquant l'hyperviseur ESXi de VMware pour y déployer un rançongiciel (Nevada, LockBit...). Selon Bloomberg, des centaines de systèmes ont été visés par cette salves d'attaques.

En France, les alertes émanant d'hébergeurs utilisant des systèmes ESXi se sont rapidement multipliées en fin de semaine. « Dans l'état actuel des investigations, ces campagnes d'attaque semblent exploiter la vulnérabilité CVE-2021-21974, pour laquelle un correctif est disponible depuis le 23 février 2021 », a expliqué l'ANSSI. « Cette vulnérabilité affecte le service Service Location Protocol (SLP) et permet à un attaquant de réaliser une exploitation de code arbitraire à distance ». Selon l'agence, les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7. De son côté, le CERT-FR indique que cette faille affecte les versions 7.x antérieures à ESXi70U1c-17325551, 6.7.x antérieures à ESXi670-202102401-SG et 6.5.x antérieures à ESXi650-202102101-SG.

Des entreprises infectées sans le savoir

L'homologue italienne de notre agence de sécurité nationale des systèmes d'information, l'ACN a fait savoir de son côté dimanche que plusieurs dizaines de systèmes nationaux ont été attaqués et demandé aux entreprises d'agir pour protéger leurs systèmes. « Des dizaines d'entreprises ne savent même pas qu'elles sont attaquées mais devraient immédiatement mettre à jour leurs systèmes », a prévenu également l'agence italienne en sécurité informatique. 

Pour les entreprises qui n'ont pas appliqué le correctif de VMware pour leurs systèmes utilisant les versions ESXi à risque et ne peuvent - ou ne veulent - pas le faire, une solution de contournement est préconisée. A savoir désactiver le service SLP sur les hyperviseurs non à jour. « L'application seule des correctifs n'est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d'effectuer une analyse des systèmes afin de détecter tout signe de compromission », explique aussi l'ANSSI.