Deux failles VMWare ESXi, référencées CVE-2016-5544 et CVE-2020-3992, ont été signalées comme étant des failles abusées dans la nature. Au moins un groupe de ransomwares abuse des failles du produit VMWare ESXi pour prendre en charge les machines virtuelles déployées dans les environnements d’entreprise et crypter leurs disques durs virtuels.

Les premières cyberattaques ont été observées en Octobre 2020, et celles-ci ont été liées à des intrusions menées par un groupe de pirates ayant déployé le ransomware RansomExx. D’après de nombreux chercheurs en sécurité, les preuves indiquent que les pirates auraient utilisé CVE-2019-5544 et CVE-2020-3992, deux failles au niveau de VMware ESXi, une solution d’hyperviseur permettant à de nombreuses machines virtuelles de partager le même stockage sur disque dur. Les deux bugs présentent un impact sur le protocole SLP (Service Location Protocol), un protocole qui s’utilise par les périphériques sur le même réseau pour se découvrir, aussi inclus avec ESXi. Les failles permettent à un pirate d’un seul réseau d’envoyer des requêtes SLP malveillantes à un appareil ESXi et de le contrôler, même sans réussir à compromettre le serveur VMWare vCenter auquel les instances ESXi font souvent rapport.

Jusqu’à présent, il n’y a que le groupe RansomExx (aussi appelé Defray777) qui a été vu abuser de la faille, mais dans la mise à jour du mois dernier, l’opérateur du ransomware Babuk Locker a aussi annoncé une fonctionnalité étrangement similaire, bien que les attaques réussies n’aient pas encore été confirmé. Entre autre, les pirates ont aussi observé la vente d’accès aux instances ESXi sur des forums souterrains de cybercriminalité l’an dernier, d’après la société de renseignement sur les menaces KELA.