Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une faille de VMware ESXi exploitée par des groupes de ransomware

juillet 2024 par Scott Caveza, Research Engineering Manager chez Tenable

Bien que l’alerte de sécurité pour la vulnérabilité CVE-2024-37085 lui attribue une note de gravité modérée, un score CVSSv3 de 6,8 et une note moyenne d’après le VPR (Vulnerability Priority Rating) de Tenable, une exploitation réussie pourrait être catastrophique pour les organisations touchées.

« L’analyse par Microsoft des hôtes compromis a fourni des informations précieuses sur l’éventail de méthodes qui peuvent être déployées pour compromettre les hôtes ESXi. Toutes les méthodes d’attaque, nouvelles et existantes, semblent relativement simples et directes à exploiter, si les conditions sont réunies pour permettre l’exploitation en premier lieu. Bien qu’elle soit peu complexe, un attaquant doit d’abord disposer de privilèges élevés pour modifier la configuration de l’Active Directory (AD) sur l’hôte affecté. Un attaquant pourrait prendre le contrôle complet d’un hôte ESXi et accéder au contenu de toutes les machines virtuelles (VM) associées ».

Les groupes de ransomwares exploitant CVE-2024-37085 :

« Plusieurs groupes de ransomware ont ciblé les machines virtuelles dans leur chaîne d’attaque, ce qui peut avoir un effet paralysant sur les organisations touchées. Ces groupes motivés financièrement s’empressent de chiffrer ou de verrouiller le plus grand nombre d’hôtes possible, maximisant ainsi l’impact sur l’organisation victime dans l’espoir d’obtenir une rançon conséquente. Pour déployer les ransomwares et exfiltrer les données, ils s’appuient sur le phishing, le vol d’informations d’identification et l’exploitation de vulnérabilités connues et exploitables qui n’ont pas été corrigées par des organisations peu méfiantes.

« Cela leur fournit une grande surface d’attaque, cependant l’exploitation dépend fortement du fait que l’hôte a été configuré pour utiliser Active Directory pour la gestion des utilisateurs. Un attaquant doit également disposer d’un accès privilégié à l’environnement Active Directory pour réussir à exploiter cette vulnérabilité. Malgré ce frein important, nous ne pouvons pas sous-estimer les capacités et la détermination des groupes de ransomware à escalader les privilèges et à progresser dans leur attaque une fois qu’ils ont obtenu l’accès initial. Bien qu’une vulnérabilité de gravité moyenne puisse sembler moins prioritaire dans l’application de correctifs, il s’agit d’un autre exemple de la façon dont les attaquants recherchent et exploitent toutes les vulnérabilités non corrigées qu’ils peuvent, souvent en enchaînant plusieurs vulnérabilités dans leur quête d’une prise de contrôle complète d’un réseau infiltré ».


Voir les articles précédents

    

Voir les articles suivants