Objet: Bulletin d’actualité CERTFR-2023-ACT-028

Résumé

Le 13 juin 2023, une publication en source ouverte [1] faisait état de campagnes d’attaque ciblant les hyperviseurs VMware ESXi dans l’objectif de mener diverses opérations et plus particulièrement des campagnes d’espionnage.

Précédemment, le CERT-FR avait signalé le ciblage d’hyperviseurs VMware ESXi dans le but d’y déployer un rançongiciel en mars 2023 [2]. De par leur ancrage au sein du système d’informations, les hyperviseurs constituent une cible de choix pour les attaquants. Les groupes d’attaquants semblent privilégier le déploiement de solutions malveillantes sur des appareils et des plates-formes qui, traditionnellement, ne disposent pas de solutions EDR (Endpoint Detection and Response), tels que les équipements réseaux, les baies de stockage SAN et les hôtes VMware ESXi.

Les principales actions réalisées par les attaquants observés par les chercheurs de Mandiant sont les suivantes :

• Compromission initiale d’un serveur vCenter, par exemple grâce à l’exploitation de la vulnérabilité CVE-2021-21972 ou par tout autre moyen (compromission de compte administrateur, etc.).
• Exploitation d’une élévation de privilèges permettant de récupérer les informations d’authentification du compte vpxuser (CVE-2022-22948 [3]), compte de service privilégié créé automatiquement sur un hôte ESXi lors de sa première connexion à un serveur vCenter. Il permet de réaliser des actions administratives telles que le déplacement de machines virtuelles entre différents hôtes ESXi ou la modification des configurations des machines virtuelles en cours d’exécution. A noter que ce compte de service a déjà été utilisé dans d’autres attaques pour déployer des paquets d’installation vSphere (VIB) malveillants. Il convient de noter enfin que si la vulnérabilité a été corrigée, l’attaquant reste en capacité de récupérer et déchiffrer les informations d’authentification du compte vpxuser s’il dispose de droits privilégiés sur le serveur vCenter.
• Utilisation du compte vpxuser pour obtenir un accès privilégié sur un hyperviseur ESXi.
• Exploitation d’une vulnérabilité de type « zéro-jour » (CVE-2023-20867) permettant à l’attaquant d’exécuter des commandes privilégiées sur les machines virtuelles invitées Windows, Linux et PhotonOS (vCenter) depuis l’hôte ESXi. La vulnérabilité affecte la suite d’outils VMware Tools (notamment embarquée dans les produits VMware ESXi, Workstation et Fusion) et permet de contourner tout mécanisme d’authentification. Son exploitation ne génère donc aucune trace dans les journaux d’évènements de la machine virtuelle.
• Déploiement de portes dérobées par le biais de l’interface de communication VMCI (Virtual Machine Communication Interface) sur les hôtes ESXi afin d’obtenir des capacités de latéralisation et / ou de persistance. L’interface VMCI permet d’établir une communication entre l’hôte et le système d’exploitation invité sans recourir au réseau IP. Une fois détournée par l’attaquant, cette interface permet une reconnexion directe de n’importe quelle machine virtuelle invitée à la porte dérobée de l’hôte ESXi compromis, et ce indépendamment de la segmentation du réseau ou des règles de pare-feu en place.
• Altération et désactivation de services de journalisation sur les systèmes ciblés en supprimant de manière sélective les événements de journalisation liés à l’activité de l’attaquant.

Recommandations

Au regard de l’attrait par les attaquants pour le produit ESXi, le CERT-FR recommande un ensemble de mesures et notamment :

• Effectuer une analyse des systèmes afin de détecter tout signe de compromission [5], l’application seule des correctifs n’est pas suffisante, un attaquant a probablement déjà déposé un code malveillant ;
• Privilégier une réinstallation de l’hyperviseur dans une version supportée par l’éditeur (ESXi 7.x ou ESXi 8.x) ;
• Assurer la maintenance en condition de sécurité de l’hyperviseur, notamment via l’application des correctifs de sécurité publiés par l’éditeur ;
• Suivre les règles de durcissement de l’éditeur [6] ;
• Mettre en place un réseau d’administration sécurisé [7] ;
• Désactiver les accès SSH, en particulier pour le compte vpxuser ;
• Empêcher l’utilisation de paquets vSphere non signés au démarrage en activant le secure boot de l’hyperviseur ESXi [8] avec utilisation du TPM (Trusted Platform Module) : TPM 1.2 pour ESXi en version 7.x et TPM 2.0 pour ESXi en version 8.x ;
• Surveiller les journaux générés par vCenter ainsi que les hyperviseurs ESXi, en particulier afin de détecter les changements de configuration inopinés.

 

Le CERT-FR tient à rappeler que les attaquants peuvent chaîner l’exploitation de plusieurs vulnérabilités pour aboutir à une exploitation réussie. La sécurité d’une application repose donc sur une analyse des risques globale et le déploiement de mesures de protection formant un ensemble cohérent, respectant le principe de défense en profondeur.

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Documentation

• [1] https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass
• [2] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/
• [3] https://pentera.io/blog/information-disclosure-in-vmware-vcenter/
• [4] Par ailleurs, toute VM invitée à laquelle l’attaquant tente d’accéder par le biais de cette vulnérabilité et sur laquelle vmtools n’est pas installé se soldera par une tentative de connexion échouée. Cependant, une fois que l’attaquant dispose d’un accès privilégié à l’hôte ESXi, il a la possibilité d’installer la suite vmtools sur n’importe quelle machine virtuelle invitée.
• [5] Les bons réflexes en cas d’intrusion sur un système d’information
  https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
• [6] https://core.vmware.com/security-configuration-guide
• [7] https://www.ssi.gouv.fr/guide/securiser-ladministration-des-systemes-dinformation/
• [8] https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-5D5EE0D1-2596-43D7-95C8-0B29733191D9.html
• https://core.vmware.com/cve-2023-20867-questions-answers

Rappel des avis émis

Dans la période du 19 au 25 juin 2023, le CERT-FR a émis les publications suivantes :

• CERTFR-2023-AVI-0475 : Multiples vulnérabilités dans Synology DiskStation Manager
• CERTFR-2023-AVI-0476 : Multiples vulnérabilités dans Moodle
• CERTFR-2023-AVI-0477 : Vulnérabilité dans LibreOffice
• CERTFR-2023-AVI-0478 : Vulnérabilité dans Apache Tomcat
• CERTFR-2023-AVI-0479 : Multiples vulnérabilités dans BIND
• CERTFR-2023-AVI-0480 : Multiples vulnérabilités dans les produits Apple
• CERTFR-2023-AVI-0481 : Vulnérabilité dans Juniper Junos OS et Junos OS Evolved
• CERTFR-2023-AVI-0482 : Multiples vulnérabilités dans les produits Nextcloud
• CERTFR-2023-AVI-0483 : Multiples vulnérabilités dans les produits VMware
• CERTFR-2023-AVI-0484 : Multiples vulnérabilités dans les produits IBM
• CERTFR-2023-AVI-0485 : Multiples vulnérabilités dans les produits Nextcloud
• CERTFR-2023-AVI-0486 : Vulnérabilité dans StormShield Endpoint Security
• CERTFR-2023-AVI-0487 : Multiples vulnérabilités dans les produits Fortinet
• CERTFR-2023-AVI-0488 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
• CERTFR-2023-AVI-0489 : Multiples vulnérabilités dans le noyau Linux de SUSE

Durant la même période, les publications suivantes ont été mises à jour :

• CERTFR-2023-AVI-0470 : Vulnérabilité dans Fortinet FortiOS et FortiProxy