Protection de VSPhere contre les logiciels malveillants

Le groupe de cybersécurité Mandiant a rapporté l’apparition d’une nouvelle série de virus ciblant principalement VMware ESXi, mais également des serveurs Linux vCenter et des machines virtuelles Windows.

Ces logiciels malveillants, connus sous le nom de VirtualPITA (ESXi et Linux), VirtualPIE (ESXi) et VirtualGATE (Windows), ont pour objectif de permettre à l’attaquant de réaliser les actions suivantes :

  • Maintenir un accès administrateur permanent à l'hyperviseur
  • Envoyer des commandes à l'hyperviseur qui seront redirigées et exécutées sur des VM hébergées sur celui-ci
  • Transférer des fichiers entre l'hyperviseur ESXi et les machines hébergées sur celui-ci
  • Altérer les services de journalisation sur l'hyperviseur
  • Exécuter des commandes arbitraires entre machines hébergées sur ce même hyperviseur

En réponse à cette nouvelle menace, le groupe VMWare a publié une mesure d’atténuation dans la notice 89619 disponible en référence. De même il est recommandé d’appliquer les mesures préventives suivantes :

  • Sécuriser les services d'identité centralisés (séparation de l'autorisation et de l'authentification, isolement des sources d'identité de l'infrastructure, authentification multifacteur, etc.)
  • Paramétrer le démarrage sécurisé d’EXSI via vSphere Trust Authority.
  • Maîtriser les niveaux d'acceptation de l'hôte et la validation VIB, notamment via Secure Boot, Host Attestation, TPM et vSphere Trust Authority.
  • Appliquer les correctifs et mises à jour.
  • Protection du périmètre de travail en désactivant les canaux de communication, entre l’hôte et les machines hébergés sur celui-ci, dans les paramètres de configuration de VMware Tools.

Selon le rapport de Mandiant ce type de logiciels, à la fois furtifs et persistants, sont caractéristiques aux groupes cybercriminels de type APT.