Un cryptolocker s'attaque depuis quelques mois à deux produits VMware : ESXi et vCenter.
C'est via un tweet de @online_fr de Arnaud que j'ai eu connaissance de l'info :
Utilisateurs d'ESX Attention ! Un ransomware assez violent tourne en ce moment et chiffre/efface les datastore. Mettez à jour au plus vite !
— Online.net - Arnaud (@online_fr) October 20, 2015
Quelques twittos confirment avoir été victimes de ce ransomware, un fichier texte est placé sur les datastore en demandant 5 bitcoins pour la restitution des données par machine.
Les versions ESXi touchées sont :
- VMware ESXi 5.5 sans le patch ESXi550-201509101-SG
- VMware ESXi 5.1 sans le patch ESXi510-201510101-SG
- VMware ESXi 5.0 sans le patch ESXi500-201510101-SG
Et pour vCenter :
- vCenter Server 6.0 inférieur à 6.0.0b
- vCenter Server 5.5 inférieur à 5.5 update 3
- vCenter Server 5.1 inférieur à 5.1 update u3b
- vCenter Server 5.0 inférieur à 5.0 update u3e
Pour plus d'infos :
- détail versions impactées
- CVE-2015-2342, CVE-2015-5177, CVE-2015-1047
- dernières versions disponibles
- security guidelines
Sur les origines de la faille on parle de reste de heartbleed / heartbeat, bref encore OpenSSL.
Ne tardez pas à mettre à jour, que ce soit avec Update Manager ou à la mano. Pour rappel vos hyperviseurs ne doivent jamais être accessibles depuis le web et de préférence sur un réseau dédié/VLAN différent de votre LAN. Mettez donc un bon pfSense en frontal avec les DMZ qui vont bien. Sans oublier des sauvegardes hors ligne (sur bande ou autre) pour se prémunir de toute contamination.
Auteur : Mr Xhark
Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter
3 commentaires
[…] Sourced through Scoop.it from: blogmotion.fr […]
[…] Le pirate, derriére cette malveillance, semble être russe, c’est du moins ce qu’indique son pseudo Russian guardians. Ce dernier termine son message par un avertissement « Nous allons vendre les machines virtuelles à d’autres personnes si nous ne recevons pas les Bitcoins réclamés« . Les otages ont deux semaines pour payer. Les premières attaques sont apparues en juin 2015. Elles viennent de retrouver un certains regain en cette fin octobre. (Blog Motion) […]
[…] A vSwitch with one physical NIC gives you basic connectivity to the outside world. Banque De Données + Pulsation - VMUG France. vReference. VMware Fault Tolerance fails to turn on in a two node cluster. How to accept licence agreement when. VMware : un ransomware vide les datastores. […]