ESXiArgs : un rançongiciel attaque les hyperviseurs VMware ESXi

ESXiArgs : un rançongiciel attaque les hyperviseurs VMware ESXi

Argh

Avatar de l'auteur

Jean-Marc Manach

Publié dansHardware

06/02/2023
38
ESXiArgs : un rançongiciel attaque les hyperviseurs VMware ESXi

Les hyperviseurs VMware ESXi en version 6.x et antérieures à 6.7 font l'objet d’une campagne d'attaques dans le but d'y déployer un rançongiciel, alerte le CERT de l’ANSSI. Elles exploiteraient la vulnérabilité CVE-2021-21974, pour laquelle un correctif est disponible depuis le 23 février 2021.

« Le CERT-FR recommande d'appliquer sans délai le contournement proposé par l'éditeur dans son article de blogue et qui consiste à désactiver le service SLP sur les hyperviseurs ESXi qui n'auraient pas été mis à jour. Cette modification empêchera les clients CIM de localiser les serveurs CIM via le service SLP. »

Pour autant, souligne le CERT, « l'application seule des correctifs n'est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d'effectuer une analyse des systèmes afin de détecter tout signe de compromission ».

Les produits VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation) seraient également vulnérables, précise l'entreprise, qui estime la criticité de la vulnérabilité « à un score CVSSv3 maximum de 9.8 » : 

« Un acteur malveillant résidant dans le même segment de réseau qu'ESXi et ayant accès au port 427 peut être en mesure de déclencher le problème de débordement de tas dans le service OpenSLP, entraînant l'exécution de code à distance. »

OVHcloud relève qu'Enes Sönmez, un chercheur turc, a documenté une procédure permettant de récupérer les fichiers VMDK chiffrés, que le taux de succès serait de 2/3, mais que la procédure nécessite de solides connaissances des environnements ESXI.

L'entreprise, qui a envoyé un e-mail à ses clients vendredi après-midi, a bloqué le port 427 OpenSLP entre Internet et les serveurs avec ESXI installé, et scanné ses réseaux pour alerter ses clients compromis. Elle précise : « nous avons des moyens d'action limités puisque nous n'avons aucun accès logique aux serveurs de nos clients ».

Vendredi soir, BleepingComputer dénombrait sur Shodan « au moins 120 serveurs » compromis dans le monde, majoritairement en France, Allemagne et aux États-Unis, par le rançongiciel surnommé ESXiArgs, parce que l’extension des fichiers chiffrés est modifiée en « .args ». 

Ce lundi matin, Shodan en répertoriait 785, dont 220 en France, 179 aux USA, 108 en Allemagne et 77 au Canada, 186 hébergés par OVH SAS, 89 par Hetzner Online GmbH, 72 par OVH Hosting Inc., 15 par OVH US LLC et 13 par OVH GmbH.

Onyphe, de son côté, répertoriait 2 112 adresses IP compromises sur quelque 50 000 potentiellement exposées ce dimanche après-midi, et Censys plus de 3200.

ESXiArgs

Les machines infectées afficheraient, d’après le forum de BleepingComputer, des demandes de rançons d'un peu plus de 2 bitcoins à payer sous trois jours, faute de quoi des données seraient rendues publiques, voire revendues, et le montant de la rançon réévalué.

« Les adresses de paiement sont différentes pour chaque victime, mais l’identifiant de messagerie instantanée chiffrée Tox ne change pas », précise LeMagIT.

38
Avatar de l'auteur

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

Vous cherchez le bastion ?

17:13 WebSécu 4
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

Tu me vois, tu ne me vois plus

16:45 IAWeb 2
IA Act

AI Act européen : un compromis de haute lutte, de rares interdictions

Un bon compromis, ça laisse tout le monde mécontent ?

16:35 DroitIA 0

Sommaire de l'article

Introduction

Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

WebSécu 4
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

IAWeb 2
IA Act

AI Act européen : un compromis de haute lutte, de rares interdictions

DroitIA 0
Panneau stop

Apple bloque Beeper, qui permettait d’utiliser iMessage sur Android

WebSoft 13

#LeBrief : faux avis sur Internet, enquêtes sur l’accord Microsoft et OpenAI, cybersécurité aux États-Unis

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 9
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 43
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 28

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 18

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 31
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Acheter sur Internet et payer avec sa carte bancaire

La DGCCRF traque les faux avis sur Internet avec son Polygraphe

ÉcoWeb 16

Logo OpenAI

Au Royaume-Uni et aux États-Unis, l’accord entre Microsoft et OpenAI à la loupe

Droit 4

Une main tenant de gros paquets de dollars

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

DroitSécu 3

Florie Marie démissionne de la présidence du Parti Pirate International

Société 8

Commentaires (38)


eglyn Abonné
Le 06/02/2023 à 07h40

Si je comprends bien, il faut que le port 427 soit exposé sur Internet ?


patos Abonné
Le 06/02/2023 à 07h46

Soit exposé sur Internet pour cette attaque précise, mais quid du reste ?
Imagine quelqu’un qui a infecté et scanné ton réseau, et qui, non repéré, attende le bon outil pour déclencher l’attaque ? Et si un de tes utilisateurs s’est choppé une porte dérobée à travers une saleté ?



Et ensuite, qu’est-ce qui garanti que ce soit cette faille concernée ?



Bref, entre ça et des pubs google à évasion, perso, je suis d’une méfiance hors normes ces jours-ci….


manhack Abonné
Le 06/02/2023 à 08h15

J’ai MAJ les explications du CERT : « Cette modification empêchera les clients CIM de localiser les serveurs CIM via le service SLP. »
& de VMWare : « Un acteur malveillant résidant dans le même segment de réseau qu’ESXi et ayant accès au port 427 peut être en mesure de déclencher le problème de débordement de tas dans le service OpenSLP, entraînant l’exécution de code à distance. »


al_bebert Abonné
Le 06/02/2023 à 08h28

manhack

J’ai MAJ les explications du CERT : « Cette modification empêchera les clients CIM de localiser les serveurs CIM via le service SLP. » & de VMWare : « Un acteur malveillant résidant dans le même segment de réseau qu’ESXi et ayant accès au port 427 peut être en mesure de déclencher le problème de débordement de tas dans le service OpenSLP, entraînant l’exécution de code à distance. »

j’ai pas compris à partir de qu’elle version ça à été patcher par contre.


Raknor Abonné
Le 06/02/2023 à 08h33

al_bebert

j’ai pas compris à partir de qu’elle version ça à été patcher par contre.

cf l’alerte CERT:



ESXi versions 7.x antérieures à ESXi70U1c-17325551
ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
ESXi versions 6.5.x antérieures à ESXi650-202102101-SG


al_bebert Abonné
Le 06/02/2023 à 08h56

Raknor

cf l’alerte CERT:

ESXi versions 7.x antérieures à ESXi70U1c-17325551 ESXi versions 6.7.x antérieures à ESXi670-202102401-SG ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

suis pas encore aller voir , merci :)


Arona Abonné
Le 06/02/2023 à 09h18

La faille est critique et corrigée depuis 2 ans… soupir


Goupil74 Abonné
Le 06/02/2023 à 09h38

Malheureusement, les mises à jours VMWare en entreprise sont régulièrement appliquées que lors de grands cycles de maintenance, c’est à dire tous les 1a, 2a voir 3a ou plus… Nombre d’entreprises ont un VMWare qui n’est jamais mis à jour sauf le jour du changement de serveur physique…


eglyn Abonné
Le 06/02/2023 à 09h44

Goupil74

Malheureusement, les mises à jours VMWare en entreprise sont régulièrement appliquées que lors de grands cycles de maintenance, c’est à dire tous les 1a, 2a voir 3a ou plus… Nombre d’entreprises ont un VMWare qui n’est jamais mis à jour sauf le jour du changement de serveur physique…

Faut avouer que les maj sont super contraignantes… Pour le Vcenter ça va, c’est long (genre 2-3h) mais ça se fait tranquillement.



Pour les ESX, faut le passer en maintenance, attendre que toutes les VM soient réparties sur les autres noeuds, couper, faire la maj, prier, reboot, et ça pour chaque noeud… Et encore, faut check touuuuuutes les putin de compatibilité du hardware, ou récup la maj du constructeur (ce qu’on fait) qui ne sort pas forcément en même temps.



Le jour où ils auront un système de maj un peu moins bourrin peut-être qu’en entreprise les majs seront faites plus souvent ^^


al_bebert Abonné
Le 06/02/2023 à 10h10

eglyn

Faut avouer que les maj sont super contraignantes… Pour le Vcenter ça va, c’est long (genre 2-3h) mais ça se fait tranquillement.

Pour les ESX, faut le passer en maintenance, attendre que toutes les VM soient réparties sur les autres noeuds, couper, faire la maj, prier, reboot, et ça pour chaque noeud… Et encore, faut check touuuuuutes les putin de compatibilité du hardware, ou récup la maj du constructeur (ce qu’on fait) qui ne sort pas forcément en même temps.

Le jour où ils auront un système de maj un peu moins bourrin peut-être qu’en entreprise les majs seront faites plus souvent ^^

et ça c’est dans un cadre esx pure, nous c’est simplivity donc les maj tu attends la validation HPE avant de les passer… et leur matrice de compatibilité est merdique au possible :/


SibeR Abonné
Le 06/02/2023 à 10h24

eglyn

Faut avouer que les maj sont super contraignantes… Pour le Vcenter ça va, c’est long (genre 2-3h) mais ça se fait tranquillement.

Pour les ESX, faut le passer en maintenance, attendre que toutes les VM soient réparties sur les autres noeuds, couper, faire la maj, prier, reboot, et ça pour chaque noeud… Et encore, faut check touuuuuutes les putin de compatibilité du hardware, ou récup la maj du constructeur (ce qu’on fait) qui ne sort pas forcément en même temps.

Le jour où ils auront un système de maj un peu moins bourrin peut-être qu’en entreprise les majs seront faites plus souvent ^^

Je plussoie, la mise à jour des hôtes est un calvaire, je ne comprend pas qu’une société comme ça n’est pas pensé à un système plus souple.
Le problème est aussi sur les version “Custom” pour Dell ou HPE par exemple , elles ne sont pas toujours suivies ce qui complique le processus de màj.


infocast Abonné
Le 06/02/2023 à 11h41

SibeR

Je plussoie, la mise à jour des hôtes est un calvaire, je ne comprend pas qu’une société comme ça n’est pas pensé à un système plus souple. Le problème est aussi sur les version “Custom” pour Dell ou HPE par exemple , elles ne sont pas toujours suivies ce qui complique le processus de màj.

Pour les MAJ mineurs pas besoin d’image constructeur. Les images constructeurs ne font qu’ajouter des drivers aux ESXi (iDRAC,NIC, iLO…)?



DRS permet d’automatiser les MAJ sur les grandes infra. Sinon avec vMotion seul ça ce fait bien, et c’est rare qu’un maj mineur casse un ESX (j’ai pas le souvenir).
La procédure est pas plus compliqué qu’un Windows Update et sans arrêt de service pour les VMs.


al_bebert Abonné
Le 06/02/2023 à 13h32

infocast

Pour les MAJ mineurs pas besoin d’image constructeur. Les images constructeurs ne font qu’ajouter des drivers aux ESXi (iDRAC,NIC, iLO…)?

DRS permet d’automatiser les MAJ sur les grandes infra. Sinon avec vMotion seul ça ce fait bien, et c’est rare qu’un maj mineur casse un ESX (j’ai pas le souvenir). La procédure est pas plus compliqué qu’un Windows Update et sans arrêt de service pour les VMs.

vient automatiser les maj sur mon infra simplivity avec DRS. je t’attends :)


infocast Abonné
Le 06/02/2023 à 13h46

al_bebert

vient automatiser les maj sur mon infra simplivity avec DRS. je t’attends :)

Simplivity c’est un peu le mal avec l’ASIC…. :D


al_bebert Abonné
Le 06/02/2023 à 14h12

infocast

Simplivity c’est un peu le mal avec l’ASIC…. :D

franchement ça marche quand même pas mal


SibeR Abonné
Le 06/02/2023 à 14h41

infocast

Pour les MAJ mineurs pas besoin d’image constructeur. Les images constructeurs ne font qu’ajouter des drivers aux ESXi (iDRAC,NIC, iLO…)?

DRS permet d’automatiser les MAJ sur les grandes infra. Sinon avec vMotion seul ça ce fait bien, et c’est rare qu’un maj mineur casse un ESX (j’ai pas le souvenir). La procédure est pas plus compliqué qu’un Windows Update et sans arrêt de service pour les VMs.

Moi je patche avec les profils baseline et du vMotion pour pas couper la prod.
Je verrai pour le DRS mais je crois que nous n’avons pas la licence.
Merci de l’info :)


Arona Abonné
Le 06/02/2023 à 10h47

Goupil74

Malheureusement, les mises à jours VMWare en entreprise sont régulièrement appliquées que lors de grands cycles de maintenance, c’est à dire tous les 1a, 2a voir 3a ou plus… Nombre d’entreprises ont un VMWare qui n’est jamais mis à jour sauf le jour du changement de serveur physique…

Je ne le sais que trop bien ayant des hôtes VMWare et ayant fait les MAJ complète plusieurs fois mais c’est du niveau de l’irresponsabilité de ne pas avoir traiter cette MAJ critique!
Et puis les environnements virtualisés permettent une sacrée souplesse (migration des VMs, etc).



Donc non juste non, ceux qui se font hacker sont responsables et ont mal géré leur infra.


gouge_re Abonné
Le 06/02/2023 à 10h54

ESXi… Super outil, mais quand tu te retrouves comme un con car ton CPU serveur n’est plus supporté par les nouvelles versions…


Wosgien Abonné
Le 06/02/2023 à 11h09

eglyn a dit:


Le jour où ils auront un système de maj un peu moins bourrin peut-être qu’en entreprise les majs seront faites plus souvent ^^




Vu le niveau de service de votre, les possibilités de migration, de clustering pour les gestes, et l’époque où nous vivons…
Reporter le problème sur vmware en disant que c’est compliqué c’est un peu puéril, non?


eglyn Abonné
Le 06/02/2023 à 11h36

J’ai pas dit qu’on faisait pas les maj :) (on les fait:)) mais que leur système de maj est très lourd, et peut dissuader certaines PME de faire les maj.
Et sachant qu’on est souvent bloqué par les ISO Custom des constructeurs, car oui, si tu veux pas mettre à plat ton infra, tu fais pas une upgrade avec l’ISO générique, tu ne connais pas les problèmes qu’il peut y avoir avec tout ton matériel.


SebGF Abonné
Le 06/02/2023 à 12h32

Arona a dit:


La faille est critique et corrigée depuis 2 ans… soupir




La routine habituelle.


Burn2 Abonné
Le 06/02/2023 à 15h03

Ne pas oublier aussi que la faille n’est concernée que si le port 427 était ouvert du coup ça limite beaucoup le nombre de personne concerné.
(perso chez nous il était toujours fermé).



Bon l’avantage c’est que ça donne un prétexte pour tout mettre à jour à nouveau. :o


lansing Abonné
Le 06/02/2023 à 17h16

Je ne comprend pas comment on peut “oser” mettre un hyperviseur accessible sur internet, sans VPN ou autre…
Surtout de la part d’un FAI en Italie.


linconnu
Le 07/02/2023 à 18h00

Parce qu’un VPN ça cause des problèmes. Les VPN c’est généralement tout ou rien ce qui surcharge les connexions internet, rarement possible de ne faire passer que le bureau à distance par exemple.


micromy Abonné
Le 06/02/2023 à 18h13

lansing a dit:


Je ne comprend pas comment on peut “oser” mettre un hyperviseur accessible sur internet, sans VPN ou autre…




Peut-être parce-que toi tu es sérieux et expérimenté (voire ce qu’il faut d’un peu parano…).
Ailleurs de plus en plus de gens choisissent la voie de la facilité, gestion Yolo du pare-feu quand il y en a un, oubli de l’utilité d’un proxy (surtout quand des éditeurs de logiciels ne semblent plus savoir ce que c’est… Coucou SUSE !), téléchargement à gogo via pip, docker hub, etc.
A l’heure actuelle, la sécurité périmétrique d’un réseau n’est plus suffisante, mais ça reste une base importante que beaucoup devraient éviter d’oublier. Sauf si ils aiment beaucoup les Tipiaks… :D


teddyalbina Abonné
Le 06/02/2023 à 22h19

Sans compter les vulnérabilités dans les containers qui en plus ne sont pas étanche contrairement à ce que pense beaucoup


eglyn Abonné
Le 07/02/2023 à 07h43

Purée le hub docker et pip les 2 trucs ingérables au SI…


Mr.Nox Abonné
Le 06/02/2023 à 18h28

Revenir un lundi matin et voir que plus de 2000 vms ont été migrées : ☑️


linconnu
Le 07/02/2023 à 18h06

Parce qu’un VPN ça cause des problèmes. Les VPN c’est généralement tout ou rien ce qui surcharge les connexions internet. Suivant qui utilise le VPN il peut y avoir de gros transferts qui se retrouvent sur le réseau de l’entreprise comme des mises à jour Steam, Origin etc…



Il est rarement possible de ne faire passer que le bureau à distance par exemple.


fred42 Abonné
Le 07/02/2023 à 18h13

Les tables de routage, ce n’est pas fait pour les chiens, même sous Windows.


Aelthas
Le 07/02/2023 à 18h36

Franchement je suis stupéfait de ce que je peux lire ici , en effet un esx , faut le mettre a jour, systeme barbare oO , je vois pas en quoi, iso personnalisé…..
Quand tu installe windows, tu vas chercher les drivers de ton materiel ou tu utilises les drivers fournis par microsoft?
C’est identique sous vmware , la hcl existe avec la compatibilité et il te fournisse le driver de ton matériel pour la build associé ( mettez a jours vos firmwares également)
Je parle de la v7 ou via le lifecycle manager tout est fourni pour la quasi totalité des constructeurs, plus rien a faire presque.



L’obsolescence forcée pour les matériels est la seule excuse, ou presque, car les failles sont patchées malgrés tout tant que le build est supporté.
Bref, n’accusé pas l’éditeur quand la négligence/méconnaissance vient de l’administrateur.


al_bebert Abonné
Le 08/02/2023 à 08h10

je vais me répéter mais dans le cas de simplivity je ne peux pas faire de maj si elle n’a pas été valider par HPE sous peine de perdre le support …



donc si parfois c’est lié aux éditeurs…


fred42 Abonné
Le 08/02/2023 à 08h44

al_bebert

je vais me répéter mais dans le cas de simplivity je ne peux pas faire de maj si elle n’a pas été valider par HPE sous peine de perdre le support …

donc si parfois c’est lié aux éditeurs…

Et HPE assume les risques tant que tu ne peux pas faire cette mise à jour de sécurité ?



Ou bien, vous perdez tous les cas ?


al_bebert Abonné
Le 08/02/2023 à 10h39

fred42

Et HPE assume les risques tant que tu ne peux pas faire cette mise à jour de sécurité ?

Ou bien, vous perdez tous les cas ?

d’après toi … :‘(



dans le cas de cette faille nous ne sommes pas impactés (nous sommes en 7u3i).



mais sur la dernière nous avions du faire la solution de contournement (qui ne corrigeais pas tout) et planifier un upgrade du simplivity (ce qui prends 2 jours au vu de la lenteur du processus avec simplivity (faut déjà 1h30 par host pour mettre à jours les firmwares, rajoute les esx …)



bref c’est quand même long et chiant à mettre à jour et tributaire dans certains cas des constructeurs


FrancoisA Abonné
Le 09/02/2023 à 08h44

Et vous avez pensé à une solution libre (AGPL V3) européenne (allemande) pour remplacer ESXi (Proxmox VE) ?
https://fr.wikipedia.org/wiki/Proxmox_VE
-> Hyperviseur officiellement promu par la DINUM dans son Socle Interministériel des Logiciels Libres (SILL).


haelty
Le 09/02/2023 à 11h27

En quoi c’est une solution plus safe pour gérer ses VM ? C’est pas tant lié au fait d’être propriétaire vs libre. Il y a potentiellement autant de failles dans l’un comme dans l’autre et ESXI a fixé la faille depuis un moment.



Du point de vue totalement sécuritaire, Proxmox se base sur KVM qui reste utilisable via libvirt (virsh, virt-manager, …). Pourquoi conseiller une surcouche qui peut amener des failles potentielles ?



Pour un commentaire qui sous-entendrait que ceux qui ont choisi ESXI ont survolé la question de la sécurité, c’est balo de tomber dans le même piège. Ca reste surtout un choix d’ergonomie ici, et là, il n’y a pas de choix objectivement meilleur qu’un autre.



Et il est encore acceptable de choisir quelque chose qui favorise l’ergonomie par rapport à la sécurité (ajouter une couche est toujours un risque), le tout est de peser les apports par rapports aux coûts, en sachant qu’il est possible de sécuriser ça par des restrictions au niveau réseau. Tu proposes Proxmox, donc tu dois être d’accord avec ça ;)



Du coup, c’est quand même mieux d’éviter de sous-entendre que les victimes auraient dû faire un meilleur choix technique quand l’alternative secure proposée n’est clairement pas meilleure. On dépend tous de soft externe, la sécurité absolue n’existe pas. Un peu de compassion ne ferait pas de mal ;)


kickinz1
Le 10/02/2023 à 08h49

haelty

En quoi c’est une solution plus safe pour gérer ses VM ? C’est pas tant lié au fait d’être propriétaire vs libre. Il y a potentiellement autant de failles dans l’un comme dans l’autre et ESXI a fixé la faille depuis un moment.

Du point de vue totalement sécuritaire, Proxmox se base sur KVM qui reste utilisable via libvirt (virsh, virt-manager, …). Pourquoi conseiller une surcouche qui peut amener des failles potentielles ?

Pour un commentaire qui sous-entendrait que ceux qui ont choisi ESXI ont survolé la question de la sécurité, c’est balo de tomber dans le même piège. Ca reste surtout un choix d’ergonomie ici, et là, il n’y a pas de choix objectivement meilleur qu’un autre.

Et il est encore acceptable de choisir quelque chose qui favorise l’ergonomie par rapport à la sécurité (ajouter une couche est toujours un risque), le tout est de peser les apports par rapports aux coûts, en sachant qu’il est possible de sécuriser ça par des restrictions au niveau réseau. Tu proposes Proxmox, donc tu dois être d’accord avec ça ;)

Du coup, c’est quand même mieux d’éviter de sous-entendre que les victimes auraient dû faire un meilleur choix technique quand l’alternative secure proposée n’est clairement pas meilleure. On dépend tous de soft externe, la sécurité absolue n’existe pas. Un peu de compassion ne ferait pas de mal ;)

Je pense que sa proposition est plus pour indiquer une alternative, en particulier aux utilisateurs qui ne peuvent pas upgrader pour des raisons d’obsolescence. Tant que le noyau debian supporte le serveur, Proxmox fonctionne. Il faut peut-être mieux une plateforme moins ergonomique mais à jour des patches de sécurité, que la dernière supportée sur ce hardware et qui fait office de cible de choix pour compromettre l’infra.



Oui, ça n’est pas idéal (en particulier de maintenir deux infras, etc…), mais dans certains cas, ça peut être utile: réutilisation de serveurs pour faire dev vms de tests/devs/non exposées.



Je n’ai pas lu d’attaque dans son approche, juste une ouverture vers d’autres outils. On aurait pu mentionner aussi OpenStack (bien plus violent à mettre en place, et en fonction des editeurs, là aussi des notions de matériel supporté), Ganeti, oVirt, etc…