cvelistv5 - cve-2020-3992

CVE-2020-3992 (GCVE-0-2020-3992)

Vulnerability from cvelistv5

Published

2020-10-20 16:11

Modified

2025-10-21 23:35

Severity ?

9.8 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE

Remote code execution vulnerability

Summary

OpenSLP as used in VMware ESXi (7.0 before ESXi_7.0.1-0.0.16850804, 6.7 before ESXi670-202010401-SG, 6.5 before ESXi650-202010401-SG) has a use-after-free issue. A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution.

References

URL

Tags

	https://www.vmware.com/security/advisories/VMSA-2020-0023.html	x_refsource_MISC
	https://www.zerodayinitiative.com/advisories/ZDI-20-1377/	x_refsource_MISC
	https://www.zerodayinitiative.com/advisories/ZDI-20-1385/	x_refsource_MISC

Impacted products

	Vendor	Product	Version
	n/a	VMware ESXi	Version: VMware ESXi (7.0 before ESXi_7.0.1-0.0.16850804, 6.7 before ESXi670-202010401-SG, 6.5 before ESXi650-202010401-SG)

CISA Known Exploited Vulnerability

Data from the CISA Known Exploited Vulnerabilities Catalog

Date added: 2021-11-03

Due date: 2022-05-03

Required action: Apply updates per vendor instructions.

Used in ransomware: Known

Notes: https://nvd.nist.gov/vuln/detail/CVE-2020-3992

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-04T07:52:20.539Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "https://www.vmware.com/security/advisories/VMSA-2020-0023.html"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "https://www.zerodayinitiative.com/advisories/ZDI-20-1377/"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "https://www.zerodayinitiative.com/advisories/ZDI-20-1385/"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "cvssV3_1": {
              "attackComplexity": "LOW",
              "attackVector": "NETWORK",
              "availabilityImpact": "HIGH",
              "baseScore": 9.8,
              "baseSeverity": "CRITICAL",
              "confidentialityImpact": "HIGH",
              "integrityImpact": "HIGH",
              "privilegesRequired": "NONE",
              "scope": "UNCHANGED",
              "userInteraction": "NONE",
              "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H",
              "version": "3.1"
            }
          },
          {
            "other": {
              "content": {
                "id": "CVE-2020-3992",
                "options": [
                  {
                    "Exploitation": "active"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2025-01-29T17:59:04.045831Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          },
          {
            "other": {
              "content": {
                "dateAdded": "2021-11-03",
                "reference": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-3992"
              },
              "type": "kev"
            }
          }
        ],
        "problemTypes": [
          {
            "descriptions": [
              {
                "cweId": "CWE-416",
                "description": "CWE-416 Use After Free",
                "lang": "en",
                "type": "CWE"
              }
            ]
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-10-21T23:35:35.278Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "references": [
          {
            "tags": [
              "government-resource"
            ],
            "url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-3992"
          }
        ],
        "timeline": [
          {
            "lang": "en",
            "time": "2021-11-03T00:00:00.000Z",
            "value": "CVE-2020-3992 added to CISA KEV"
          }
        ],
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "VMware ESXi",
          "vendor": "n/a",
          "versions": [
            {
              "status": "affected",
              "version": "VMware ESXi (7.0 before ESXi_7.0.1-0.0.16850804, 6.7 before ESXi670-202010401-SG, 6.5 before ESXi650-202010401-SG)"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "OpenSLP as used in VMware ESXi (7.0 before ESXi_7.0.1-0.0.16850804, 6.7 before ESXi670-202010401-SG, 6.5 before ESXi650-202010401-SG) has a use-after-free issue. A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution."
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "description": "Remote code execution vulnerability",
              "lang": "en",
              "type": "text"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2020-11-25T23:06:15.000Z",
        "orgId": "dcf2e128-44bd-42ed-91e8-88f912c1401d",
        "shortName": "vmware"
      },
      "references": [
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "https://www.vmware.com/security/advisories/VMSA-2020-0023.html"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "https://www.zerodayinitiative.com/advisories/ZDI-20-1377/"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "https://www.zerodayinitiative.com/advisories/ZDI-20-1385/"
        }
      ],
      "x_legacyV4Record": {
        "CVE_data_meta": {
          "ASSIGNER": "security@vmware.com",
          "ID": "CVE-2020-3992",
          "STATE": "PUBLIC"
        },
        "affects": {
          "vendor": {
            "vendor_data": [
              {
                "product": {
                  "product_data": [
                    {
                      "product_name": "VMware ESXi",
                      "version": {
                        "version_data": [
                          {
                            "version_value": "VMware ESXi (7.0 before ESXi_7.0.1-0.0.16850804, 6.7 before ESXi670-202010401-SG, 6.5 before ESXi650-202010401-SG)"
                          }
                        ]
                      }
                    }
                  ]
                },
                "vendor_name": "n/a"
              }
            ]
          }
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "eng",
              "value": "OpenSLP as used in VMware ESXi (7.0 before ESXi_7.0.1-0.0.16850804, 6.7 before ESXi670-202010401-SG, 6.5 before ESXi650-202010401-SG) has a use-after-free issue. A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution."
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "eng",
                  "value": "Remote code execution vulnerability"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://www.vmware.com/security/advisories/VMSA-2020-0023.html",
              "refsource": "MISC",
              "url": "https://www.vmware.com/security/advisories/VMSA-2020-0023.html"
            },
            {
              "name": "https://www.zerodayinitiative.com/advisories/ZDI-20-1377/",
              "refsource": "MISC",
              "url": "https://www.zerodayinitiative.com/advisories/ZDI-20-1377/"
            },
            {
              "name": "https://www.zerodayinitiative.com/advisories/ZDI-20-1385/",
              "refsource": "MISC",
              "url": "https://www.zerodayinitiative.com/advisories/ZDI-20-1385/"
            }
          ]
        }
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "dcf2e128-44bd-42ed-91e8-88f912c1401d",
    "assignerShortName": "vmware",
    "cveId": "CVE-2020-3992",
    "datePublished": "2020-10-20T16:11:13.000Z",
    "dateReserved": "2019-12-30T00:00:00.000Z",
    "dateUpdated": "2025-10-21T23:35:35.278Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1",
  "vulnerability-lookup:meta": {
    "cisa_known_exploited": {
      "cveID": "CVE-2020-3992",
      "cwes": "[\"CWE-416\"]",
      "dateAdded": "2021-11-03",
      "dueDate": "2022-05-03",
      "knownRansomwareCampaignUse": "Known",
      "notes": "https://nvd.nist.gov/vuln/detail/CVE-2020-3992",
      "product": "ESXi",
      "requiredAction": "Apply updates per vendor instructions.",
      "shortDescription": "VMware ESXi OpenSLP contains a use-after-free vulnerability that allows an attacker residing in the management network with access to port 427 to perform remote code execution.",
      "vendorProject": "VMware",
      "vulnerabilityName": "VMware ESXi OpenSLP Use-After-Free Vulnerability"
    }
  }
}

CERTFR-2020-AVI-658

Vulnerability from certfr_avis

De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service, une atteinte à l'intégrité et à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None

Impacted products

Vendor	Product	Description
VMware	N/A	vCenter 6.7.x versions antérieures à 6.7 U3
VMware	ESXi	ESXi 7.0.x versions antérieures à ESXi_7.0.1-0.0.16850804
VMware	N/A	vCenter 6.5.x versions antérieures à 6.5 U3K
VMware	Fusion	Fusion 11.x versions antérieures à 11.5.6
VMware	NSX	NSX-T 3.x versions antérieures à 3.0.2
VMware	Cloud Foundation	VMware Cloud Foundation 3.x versions antérieures à 3.10.1.1
VMware	ESXi	ESXi 6.7.x versions antérieures à ESXi670-202010401-SG
VMware	NSX	NSX-T 2.5.x versions antérieures à 2.5.2.2.0
VMware	Cloud Foundation	VMware Cloud Foundation 4.x versions antérieures à 4.1
VMware	ESXi	ESXi 6.5.x versions antérieures à ESXi650-202010401-SG
VMware	N/A	Workstation 15.x toutes versions

References

Title

Publication Time

Tags

Bulletin de sécurité VMware VMSA-2020-0023 du 20 octobre 2020

None

vendor-advisory

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "vCenter 6.7.x versions ant\u00e9rieures \u00e0 6.7 U3",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "ESXi 7.0.x versions ant\u00e9rieures \u00e0 ESXi_7.0.1-0.0.16850804",
      "product": {
        "name": "ESXi",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "vCenter 6.5.x versions ant\u00e9rieures \u00e0 6.5 U3K",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "Fusion 11.x versions ant\u00e9rieures \u00e0 11.5.6",
      "product": {
        "name": "Fusion",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "NSX-T 3.x versions ant\u00e9rieures \u00e0 3.0.2",
      "product": {
        "name": "NSX",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "VMware Cloud Foundation 3.x versions ant\u00e9rieures \u00e0 3.10.1.1",
      "product": {
        "name": "Cloud Foundation",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "ESXi 6.7.x versions ant\u00e9rieures \u00e0 ESXi670-202010401-SG",
      "product": {
        "name": "ESXi",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "NSX-T 2.5.x versions ant\u00e9rieures \u00e0 2.5.2.2.0",
      "product": {
        "name": "NSX",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "VMware Cloud Foundation 4.x versions ant\u00e9rieures \u00e0 4.1",
      "product": {
        "name": "Cloud Foundation",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "ESXi 6.5.x versions ant\u00e9rieures \u00e0 ESXi650-202010401-SG",
      "product": {
        "name": "ESXi",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "Workstation 15.x toutes versions",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2020-3981",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-3981"
    },
    {
      "name": "CVE-2020-3994",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-3994"
    },
    {
      "name": "CVE-2020-3993",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-3993"
    },
    {
      "name": "CVE-2020-3995",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-3995"
    },
    {
      "name": "CVE-2020-3982",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-3982"
    },
    {
      "name": "CVE-2020-3992",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-3992"
    }
  ],
  "initial_release_date": "2020-10-20T00:00:00",
  "last_revision_date": "2020-10-20T00:00:00",
  "links": [],
  "reference": "CERTFR-2020-AVI-658",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-10-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits\nVMware. Elles permettent \u00e0 un attaquant de provoquer une ex\u00e9cution de\ncode arbitraire, un d\u00e9ni de service, une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 et \u00e0 la\nconfidentialit\u00e9 des donn\u00e9es.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits VMware",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 VMware VMSA-2020-0023 du 20 octobre 2020",
      "url": "https://www.vmware.com/security/advisories/VMSA-2020-0023.html"
    }
  ]
}

CERTFR-2023-ALE-015

Vulnerability from certfr_alerte

[Mise à jour du 10 février 2023]
Une nouvelle vague d’attaque démarrée le 8 février change la méthode de chiffrement permettant de chiffrer un plus grand volume de données dans les fichiers de grande taille rendant la restauration des données plus difficile voire impossible.

[Mise à jour du 05 février 2023] Mise à jour du résumé et de la section 'Solution'.

Le 03 février 2023, le CERT-FR a pris connaissance de campagnes d'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y déployer un rançongiciel.

Dans l'état actuel des investigations, ces campagnes d'attaque semblent avoir tiré parti de l'exposition d'hyperviseurs ESXi qui n'auraient pas été mis à jour des correctifs de sécurité suffisamment rapidement. En particulier, le service SLP semble avoir été visé, service pour lequel plusieurs vulnérabilités avaient fait l'objet de correctifs successifs (notamment les vulnérabilités CVE-2020-3992 et CVE-2021-21974, cf. section Documentation). Ces vulnérabilités permettent à un attaquant de réaliser une exploitation de code arbitraire à distance. Des codes d'exploitation sont disponibles en source ouverte depuis au moins mai 2021.

Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7.

Cependant, le CERT-FR rappelle que les vulnérabilités affectant SLP concernent les systèmes suivants :

ESXi versions 7.x antérieures à ESXi70U1c-17325551
ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
ESXi versions 6.5.x antérieures à ESXi650-202102101-SG

Solution

[Mise à jour du 05 février 2023]

Le CERT-FR a la confirmation qu'il est possible de récupérer les disques des machines virtuelles lorsque les fichiers de configuration (.vmdk) sont chiffrés et renommés avec une extension .args. En effet, dans ce cas, le fichier contenant le disque virtuel (fichier -flat.vmdk) n'est pas chiffré. Plusieurs procédures testées avec succès sont documentées [1].

Le CERT-FR recommande fortement de :

isoler le serveur affecté ;
dans la mesure du possible, effectuer une analyse des systèmes afin de détecter tout signe de compromission [2], l'application seule des correctifs n'est pas suffisante, un attaquant a probablement déjà déposé un code malveillant ;
privilégier une réinstallation de l'hyperviseur dans une version supportée par l'éditeur (ESXi 7.x ou ESXi 8.x) ;
appliquer l'ensemble des correctifs de sécurité et de suivre les futurs avis de sécurité de l'éditeur ;
désactiver les services inutiles sur l'hyperviseur (tel que le service SLP [3]) ;
bloquer l'accès aux différents services d'administration, soit par un pare-feu dédié, soit par le pare-feu intégré à l'hyperviseur et mettre en œuvre un réseau local d'administration ainsi qu'une capacité d'administration distante si elle est requise (via réseau privé virtuel, VPN, ou, à défaut, par un filtrage des adresses IP de confiance).

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Bulletin de sécurité VMware VMSA-2020-0023 du 20 octobre 2020	None	vendor-advisory
Bulletin de sécurité VMware VMSA-2021-0002 du 23 février 2021	None	vendor-advisory
[3] Procédure permettant de désactiver le service SLP	-	other
[1] Procédures de récupération des machines virtuelles	-	other
[2] Les bons réflexes en cas d’intrusion sur un système d’information	-	other
Avis de sécurité CERT-FR CERTFR-2021-AVI-145 du 24 février 2021	-	other
[1] Procédures de récupération des machines virtuelles	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "",
  "closed_at": "2023-03-14",
  "content": "## Solution\n\n\\[Mise \u00e0 jour du 05 f\u00e9vrier 2023\\]\n\nLe CERT-FR a la confirmation qu\u0027il est possible de r\u00e9cup\u00e9rer les disques\ndes machines virtuelles lorsque les fichiers de configuration (*.vmdk*)\nsont chiffr\u00e9s et renomm\u00e9s avec une extension *.args.* En effet, dans ce\ncas, le fichier contenant le disque virtuel (fichier *-flat.vmdk*) n\u0027est\npas chiffr\u00e9. Plusieurs proc\u00e9dures test\u00e9es avec succ\u00e8s sont document\u00e9es\n\\[1\\].\n\nLe CERT-FR recommande fortement de :\n\n-   isoler le serveur affect\u00e9 ;\n-   dans la mesure du possible, effectuer une analyse des syst\u00e8mes afin\n    de d\u00e9tecter tout signe de compromission \\[2\\], l\u0027application seule\n    des correctifs n\u0027est pas suffisante, un attaquant a probablement\n    d\u00e9j\u00e0 d\u00e9pos\u00e9 un code malveillant ;\n-   privil\u00e9gier une r\u00e9installation de l\u0027hyperviseur dans une version\n    support\u00e9e par l\u0027\u00e9diteur (ESXi 7.x ou ESXi 8.x) ;\n-   appliquer l\u0027ensemble des correctifs de s\u00e9curit\u00e9 et de suivre les\n    futurs avis de s\u00e9curit\u00e9 de l\u0027\u00e9diteur ;\n-   d\u00e9sactiver les services inutiles sur l\u0027hyperviseur (tel que le\n    service *SLP* \\[3\\]) ;\n-   bloquer l\u0027acc\u00e8s aux diff\u00e9rents services d\u0027administration, soit par\n    un pare-feu d\u00e9di\u00e9, soit par le pare-feu int\u00e9gr\u00e9 \u00e0 l\u0027hyperviseur et\n    mettre en \u0153uvre un r\u00e9seau local d\u0027administration ainsi qu\u0027une\n    capacit\u00e9 d\u0027administration distante si elle est requise (*via* r\u00e9seau\n    priv\u00e9 virtuel, *VPN*, ou, \u00e0 d\u00e9faut, par un filtrage des adresses IP\n    de confiance).\n\n\u00a0\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d\u0027un produit ou d\u0027un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommand\u00e9\nd\u0027effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u0027application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n",
  "cves": [
    {
      "name": "CVE-2021-21974",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-21974"
    },
    {
      "name": "CVE-2020-3992",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-3992"
    }
  ],
  "initial_release_date": "2023-02-03T00:00:00",
  "last_revision_date": "2023-03-14T00:00:00",
  "links": [
    {
      "title": "[3] Proc\u00e9dure permettant de d\u00e9sactiver le service SLP",
      "url": "https://kb.vmware.com/s/article/76372"
    },
    {
      "title": "[1] Proc\u00e9dures de r\u00e9cup\u00e9ration des machines virtuelles",
      "url": "https://gist.github.com/MarianBojescu/da539a47d5eae29383a4804218ad7220"
    },
    {
      "title": "[2] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-145 du 24 f\u00e9vrier 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-145/"
    },
    {
      "title": "[1] Proc\u00e9dures de r\u00e9cup\u00e9ration des machines virtuelles",
      "url": "https://enes.dev"
    }
  ],
  "reference": "CERTFR-2023-ALE-015",
  "revisions": [
    {
      "description": "Version initiale.",
      "revision_date": "2023-02-03T00:00:00.000000"
    },
    {
      "description": "Clarification de la section \u0027Solution\u0027",
      "revision_date": "2023-02-03T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour de la section \u0027R\u00e9sum\u00e9\u0027 et de la section \u0027Solution\u0027",
      "revision_date": "2023-02-05T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour de la section \u0027Solution\u0027",
      "revision_date": "2023-02-10T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2023-03-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\\[Mise \u00e0 jour du 10 f\u00e9vrier\n2023\\]\u003c/span\u003e  \nUne nouvelle vague d\u2019attaque d\u00e9marr\u00e9e le 8 f\u00e9vrier change la m\u00e9thode de\nchiffrement permettant de chiffrer un plus grand volume de donn\u00e9es dans\nles fichiers de grande taille rendant la restauration des donn\u00e9es plus\ndifficile voire impossible.\n\n\\[Mise \u00e0 jour du 05 f\u00e9vrier 2023\\] Mise \u00e0 jour du r\u00e9sum\u00e9 et de la\nsection \u0027Solution\u0027.\n\nLe 03 f\u00e9vrier 2023, le CERT-FR a pris connaissance de campagnes\nd\u0027attaque ciblant les hyperviseurs VMware ESXi dans le but d\u0027y d\u00e9ployer\nun ran\u00e7ongiciel.\n\n\u003cspan style=\"text-decoration: underline;\"\u003eDans l\u0027\u00e9tat actuel des\ninvestigations\u003c/span\u003e, ces campagnes d\u0027attaque semblent avoir tir\u00e9 parti\nde l\u0027exposition d\u0027hyperviseurs ESXi qui n\u0027auraient pas \u00e9t\u00e9 mis \u00e0 jour\ndes correctifs de s\u00e9curit\u00e9 suffisamment rapidement. En particulier, le\nservice *SLP* semble avoir \u00e9t\u00e9 vis\u00e9, service pour lequel plusieurs\nvuln\u00e9rabilit\u00e9s avaient fait l\u0027objet de correctifs successifs (notamment\nles vuln\u00e9rabilit\u00e9s CVE-2020-3992 et CVE-2021-21974, cf. section\nDocumentation). Ces vuln\u00e9rabilit\u00e9s permettent \u00e0 un attaquant de r\u00e9aliser\nune exploitation de code arbitraire \u00e0 distance. Des codes d\u0027exploitation\nsont disponibles en source ouverte depuis au moins mai 2021.\n\nLes syst\u00e8mes actuellement vis\u00e9s seraient des hyperviseurs ESXi en\nversion 6.x et ant\u00e9rieures \u00e0 6.7.\n\nCependant, le CERT-FR rappelle que les vuln\u00e9rabilit\u00e9s affectant *SLP*\nconcernent les syst\u00e8mes suivants :\n\n-   ESXi versions 7.x ant\u00e9rieures \u00e0\u00a0ESXi70U1c-17325551\n-   ESXi\u00a0versions 6.7.x ant\u00e9rieures \u00e0\u00a0ESXi670-202102401-SG\n-   ESXi\u00a0versions 6.5.x ant\u00e9rieures \u00e0\u00a0ESXi650-202102101-SG\n\n\u00a0\n",
  "title": "[M\u00e0J] Campagne d\u0027exploitation d\u0027une vuln\u00e9rabilit\u00e9 affectant VMware ESXi",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 VMware VMSA-2020-0023 du 20 octobre 2020",
      "url": "https://www.vmware.com/security/advisories/VMSA-2020-0023.html"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 VMware VMSA-2021-0002 du 23 f\u00e9vrier 2021",
      "url": "https://www.vmware.com/security/advisories/VMSA-2021-0002.html"
    }
  ]
}

Tags

Taxonomy of the tags.

All sightings related to this event Export sightings related to this event

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CVE-2020-3992 (GCVE-0-2020-3992)

Vulnerability from cvelistv5

CISA Known Exploited Vulnerability

Data from the CISA Known Exploited Vulnerabilities Catalog

CERTFR-2020-AVI-658

Vulnerability from certfr_avis

Solution

CERTFR-2023-ALE-015

Vulnerability from certfr_alerte

Solution

Tags

Sightings

Nomenclature