Vulnérabilité affectant VMWARE ESXI

Une vulnérabilité a été découverte au sein des hyperviseurs ESXi de VMWare.

Une campagne massive de scan et d’exploitation de la vulnérabilité CVE-2021-21974 est en cours depuis la fin de semaine dernière et permet de lancer des attaques par ransomwares.

Les versions affectées sont les suivantes :

• ESXi versions 7.x antérieures à ESXi70U1c-17325551
• ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
• ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

Il est recommandé de mettre à jour les ESXi en version corrigée :

• ESXi version 7.0 U1c
• ESXi version 6.7 U3l
• ESXi version 6.5 U3n

Quelques rappels sur les bonnes pratiques pour réduire les risques :

• Il est important que les interfaces d’administration ne soient pas accessibles depuis Internet.
• L’accès aux interfaces d’administration doivent être restreintes (IP sources autorisées) et protégées (mot de passe robuste).
• L’ensemble des environnements (test, développement, préproduction, production) incluant des composants similaires doivent être mis à jour.
• Toute mise à jour implique des impacts qui doivent être maitrisés ; s’assurer de disposer de sauvegardes et tester la mise à jour de manière unitaire avant de la généraliser.

Existe-t-il des mesures d’atténuation sans mise à jour ?

VMWare propose de désactiver le service SLP pour les infrastructures non à jour https://kb.vmware.com/s/article/76372.

Plus d’infos sur l’alerte de l’ANSSI et le site de l’éditeur :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/,
https://www.vmware.com/security/advisories/VMSA-2022-0030.html