Une récente vague d'attaques par ransomware s'appuie sur une vulnérabilité de VMWare vieille de deux ans. Ces attaques ont touché des milliers d'organisations dans le monde entier, en particulier en Europe et en Amérique du Nord.
Des rapports provenant du monde entier font état d'un nouveau ransomware appelé EXSIArgs. En exploitant une vulnérabilité vieille de deux ans dans le logiciel d'hyperviseur EXSI, les acteurs malveillants sont en mesure de supprimer des fichiers importants dans le système des postes de travail infectés. Plus de 3 200 serveurs VMWare étaient touchés au 6 février 2023.
L'incident a suscité des réactions immédiates de la part des autorités des régions concernées. Un porte-parole de l'agence américaine de cybersécurité et de sécurité des infrastructures, également connue sous le nom de CISA, a annoncé que l'organisation était au courant du problème. La CISA collabore étroitement avec des partenaires privés et publics afin d'évaluer l'impact des attaques et de fournir une assistance si nécessaire. L'agence nationale italienne de cybersécurité a également émis des avertissements à l'intention des organisations, les invitant à prendre des mesures immédiates.
Comment cela s'est produit
Cette attaque a commencé par une vulnérabilité vieille de deux ans dans les serveurs VMWare EXSI. EXSI est une technologie utilisée par l'entreprise pour héberger et coordonner plusieurs machines sur un seul serveur. La vulnérabilité en question est liée au service OpenSLP, qui est disponible sur les anciennes versions d'EXSI. Si des acteurs malveillants exploitent cette vulnérabilité, ils peuvent exécuter un code qui supprime des fichiers sur votre système.
Cette vulnérabilité n'est cependant pas inconnue. Elle a été divulguée en 2021 et a été répertoriée sous le nom de CVE-2021-21974. L'entreprise a recommandé aux organisations de commencer à mettre à jour leurs composants vSphere vers les versions les plus récentes, car elles contiennent le correctif pour cette vulnérabilité.
Vulnérabilités : Les poignards cachés
Les acteurs malveillants utilisent les vulnérabilités logicielles depuis longtemps, avec des cas particulièrement célèbres tels que CVE-2018-8174, également connu sous le nom de Double Kill, et l'exploit ProxyLogon. Les vulnérabilités pouvant être des points d'entrée pour les logiciels malveillants, les experts recommandent de les patcher dès qu'une mise à jour est disponible.
Les gouvernements et autres réglementations concernant les vulnérabilités sont de plus en plus fréquents et de plus en plus stricts. Par exemple, en octobre 2022, la CISA susmentionnée a publié une directive opérationnelle contraignante (BOD 23-01) visant à améliorer la visibilité des actifs et le site vulnerability detection sur les réseaux fédéraux. D'ici le 3 avril 2023, toutes les agences fédérales devront se conformer à la nécessité d'effectuer une découverte automatisée des actifs tous les 7 jours et de lancer une énumération des vulnérabilités sur tous les actifs découverts (y compris les terminaux tels que les ordinateurs portables) tous les 14 jours.
Bien qu'essentielle pour toutes les organisations et désormais requise pour les agences fédérales, cette tâche n'est pas pour autant facile. Les organisations peuvent avoir jusqu'à des milliers d'appareils qui doivent être mis à jour en même temps, et c'est aussi un effort colossal de s'assurer que chaque appareil est mis à jour. N'oubliez pas qu'un seul appareil infecté peut déclencher une chaîne d'infection entraînant une violation massive des données.
Comment SDP et Zero-Trust peuvent protéger votre réseau
OPSWAT MetaDefender Access Zero-Trust Access Platform est une solution complète qui assure la conformité, la visibilité et le contrôle de la sécurité de chaque appareil et utilisateur accédant aux ressources de l'entreprise.
Conformité
MetaDefender Access effectue le contrôle de la posture de l'appareil le plus complet du secteur (15 catégories de contrôles), y compris l'exécution d'une évaluation des risques et des vulnérabilités. Il détecte plus de 35 000 CVE et peut patcher automatiquement plus de 150 applications tierces.
Contrôle d'accès
Après que MetaDefender Access se soit assuré que le terminal est à la fois conforme et sécurisé, les utilisateurs sont autorisés à accéder au réseau par le biais d'une solution intégrée de gestion des identités et des autorisations (IAM). Ils auront ensuite accès aux ressources de l'organisation via un périmètre défini par Software SDP en fonction d'une politique de moindre privilège.
Visibilité
La protection va encore plus loin. Avec MetaDefender Access, dans le cas du logiciel EXSI, les pirates ne pourraient jamais s'y connecter car les ressources et les applications derrière SDP sont invisibles pour tous les appareils ; les pirates ne sauraient donc jamais qu'elles sont là. En outre, seuls les appareils de confiance ayant fait l'objet de contrôles de conformité et de sécurité rigoureux, tels que décrits ci-dessus, peuvent accéder aux ressources via SDP.
Les organisations ne doivent pas rester sans défense lorsque des acteurs malveillants exploitent une vulnérabilité. En corrigeant régulièrement leurs applications et leurs terminaux, les entreprises peuvent minimiser le risque d'attaques et prévenir les incidents coûteux liés aux ransomwares. Des solutions telles que OPSWAT MetaDefender Access Zero-Trust Access platform permettent aux organisations d'accélérer le processus de manière conforme, sécurisée et rentable.
En savoir plus sur notre plateformeMetaDefender Access Zero-Trust Access.
