L’histoire récente nous montre qu’aux premières heures de la propagation d’une infection, l’identification de la ou des voie.s de transmission est une tâche centrale et son résultat déterminant. Cette connaissance constitue un levier direct et efficace de pilotage de la vitesse initiale de propagation, et d’influence du taux d’infection de la population potentiellement cible.
Une détermination correcte de la voie de transmission peut aboutir à une forte réduction de l’impact ; tandis qu’une estimation incorrecte ou hasardeuse peut, dans le cas aggravant de forte vitesse d’une propagation, tracer le sillon d’un futur monstre pandémique.
Les primo-infections et leur sillage
Dans l’après-midi du vendredi 03 février, une infection au ransomware atteint des serveurs Vmware ESXi. Les premiers posts de victimes apparaissent, notamment sur le forum de Bleeping Computer. L’importante vitesse de propagation principalement, et la criticité de la solution de virtualisation pour toute organisation, favorisent ensuite une effervescence qui contamine rapidement tous les canaux-relais de la communauté cyber auxquels nous sommes habituellement branchés.
L’observation des premiers symptômes suscite les premiers diagnostics… Une attribution (rapide) pointe vers le ransomware Nevada – porté aux nues quelques jours avant par Resecurity. Mais surtout, une voie de transmission est identifiée : l’abus du service OpenSLP de VMware, via trois (03) vulnérabilités candidates, précédemment patchées. Mieux encore, un script de recouvrement de plus 90 % de l’ensemble des fichiers couverts par le script de chiffrement est mis à disposition par un chercheur – car chose très exceptionnelle, une sorte de généreux filtre aux allures de sang pascal, est hardcodé dans le script de chiffrement, et résulte dans la restriction du chiffrement à un peigne de Dirac à dent famélique de 1 Mo.
Un agent infectieux, une voie de transmission, un vaccin et un traitement… Jusqu’à ce point, dynamiques logiques et habituelles.
Un consensus prématuré ?
Si ces premières hypothèses, ainsi que les discussions et critiques qu’elles suscitent, écumant de l’effervescence de la communauté sont légitimes, c’est le traitement qu’en ont fait plusieurs acteurs ayant autorité (au moins de manière relative), qui pose pour le moins question.
Dans un premier temps, l’attribution (trop) rapide, unilatérale et insuffisamment étayée à Nevada, a bénéficié d’un relais large et systématique.
Ceci fut alors coupé net par le retrait tout aussi immédiat de cette attribution par son initiateur. Mais plus déroutant encore, des trois vulnérabilités candidates relatives au service OpenSLP, une seule est relayée, sans nuances, et ce de façon autrement plus intense par plusieurs médias, dont des agences officielles (homologues de l’ANSSI française).
Or, plusieurs voix s’étaient élevées pour faire constater qu’il n’y avait pas de preuve forensic pour s’autoriser une telle discrimination. Plus problématique, des faux-négatifs étaient apparus parmi les serveurs ciblés, dont les infections avérées n’avaient pas passé le test de l’abus à l’OpenSLP.
Tout ceci, sachant d’une part qu’une prudence quasi-religieuse est de mise dans le domaine quant à la gestion des différentes « attributions » ; et d’autre part, que l’on se situe en face d’une infection dont les caractéristiques initiales présagent alors d’un impact potentiel intense.
Risque perçu vs réel : divergence risquée
Considérons attentivement la situation : d’un côté, des actifs, primordiaux pour un nombre de plus en plus grandissant d’organisations (la migration vers le cloud des infrastructures et la virtualisation aidant), sont exposés à une infection à grande vitesse de propagation. De l’autre, la criticité de cette catégorie d’actifs pour la production, et la sensibilité aigüe de la technologie de virtualisation à des mise-à-jour, ne permettent pas d’envisager une résorption rapide et sereine de la dette technologique associée, par l’injection immédiate de patchs alors non-appliqués : ça tremble dans les chaumières…
Si donc dans de telles conditions, un leurre d’hypothétique tranquillité se fortifie – dans l’esprit du donneur d’ordre – autour de l’existence, peut-être illusoire, d’une sorte de masque de protection qui se révèle ne pas protéger plus tard…
Si la pente de la courbe d’infection et la valeur de l’impact ‘perçues’ divergent artificiellement trop longtemps de leur valeur réelle, alors le constat qui guette est celui de devoir opérer le rappel à la réalité dans de nouvelles conditions à dimension fatalement plus… pandémique.
Un tour rapide sur la taille et la diversité de la liste des organisations victimes suffiront pour nous convaincre qu’aucune prudence ne serait d’économie, qui permettrait d’éviter que l’on atteigne (favorise ?) ce point d’état de la situation.
Si la célérité de communication est une intention noble qui se révèle salutaire en face de risques élevés, les impacts d’une rigueur insuffisante peuvent décupler l’impact initialement ciblé en mitigation.
C’est ce contexte-là qui a vu l’apparition, en fin de semaine dernière d’un premier variant… bien moins généreux que son prédécesseur. Ambiance !
Auteur : S. Eiichi
Article publié le 21 février 2023
Sources :
- https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/
- https://github.com/fastfire/IoC_Attack_ESXi_Feb_2023
- https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/
- https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/
