Back to blog
VMwarevCenterESXiCVE-2021-21985ransomwarevirtualisation

VMware vCenter et ESXi : les CVE critiques qui menacent votre infrastructure virtuelle

VMware vCenter Server et ESXi concentrent des vulnérabilités critiques régulièrement exploitées par des ransomwares. Analyse des CVE majeures et sécurisation de votre infrastructure de virtualisation.

April 23, 20264 min read

L'infrastructure de virtualisation VMware — vCenter Server pour la gestion et ESXi pour l'hyperviseur — est au cœur des datacenters de milliers d'entreprises. Sa compromission signifie l'accès à toutes les machines virtuelles hébergées. C'est pourquoi les gangs de ransomware ciblent VMware en priorité.

Pourquoi VMware est une cible prioritaire

Compromettre vCenter ou ESXi donne accès à :

  • Toutes les VMs du datacenter (arrêt, chiffrement, exfiltration)
  • Les snapshots et sauvegardes stockés sur les datastores
  • Les flux réseau entre VMs via les vSwitches
  • Les credentials administrateurs stockés dans vCenter

Un ransomware déployé au niveau hyperviseur peut chiffrer toutes les VMs simultanément en quelques minutes — sans avoir besoin de compromettre chaque OS invité individuellement.

CVE-2021-21985 : RCE dans vCenter (CVSS 9.8)

La vulnérabilité

Une exécution de code à distance dans le plugin Virtual SAN Health Check de vCenter Server. Ce plugin est activé par défaut même si vous n'utilisez pas vSAN. Un attaquant ayant accès au port 443 de vCenter peut exécuter du code arbitraire.

Versions affectées : vCenter Server 6.5, 6.7, 7.0

Exploitée massivement dans les semaines suivant sa divulgation en mai 2021, notamment pour déployer des webshells et des cryptomineurs.

CVE-2021-22005 : Upload de fichier arbitraire (CVSS 9.8)

Une faille dans le service Analytics de vCenter permettant à un attaquant de téléverser des fichiers arbitraires sur le serveur, conduisant à une exécution de code. Exploitée comme zero-day dès sa divulgation en septembre 2021.

CVE-2022-22954 : RCE via SSTI (CVSS 9.8)

Une Server-Side Template Injection dans VMware Workspace ONE Access et Identity Manager. Exploit disponible publiquement quelques heures après la divulgation, exploité massivement pour déployer des cryptomineurs et des backdoors.

CVE-2023-20867 : ESXi Auth Bypass (CVSS 3.9 — mais critique en pratique)

Utilisée par le groupe UNC3886 comme partie d'une chaîne d'attaque avancée sur ESXi. Malgré son score CVSS relativement bas, elle permettait d'exécuter des commandes sur les VMs depuis l'hyperviseur ESXi compromis, sans authentification dans le VM.

La campagne ESXiArgs (2023)

En février 2023, la campagne ESXiArgs a ciblé des milliers de serveurs ESXi non patchés exposés sur internet, exploitant CVE-2021-21974 (heap overflow dans le service OpenSLP d'ESXi, CVSS 8.8) pour déployer un ransomware chiffrant les fichiers .vmdk (disques virtuels).

Impact :

  • Plusieurs milliers de serveurs ESXi chiffrés en quelques jours
  • Cible prioritaire : ESXi 6.x et 7.x non patchés
  • CISA a publié un script de récupération pour certaines victimes
# Vérifier si ESXi est vulnérable à CVE-2021-21974
esxcli system maintenanceMode get
esxcli network firewall ruleset list | grep slpd
# SLP doit être désactivé

Sécuriser VMware vCenter et ESXi

1. Isoler vCenter du réseau général

vCenter ne doit jamais être accessible depuis internet. Placez-le dans un réseau de management dédié avec accès uniquement depuis des bastions.

# Règles firewall minimales vCenter
443/tcp  → accès administrateurs uniquement (IP whitelistées)
Bloquer tout accès depuis internet

2. Désactiver les plugins inutiles

# Via vSphere Web Client
Administration → Solutions → Plugins clients
→ Désactiver Virtual SAN Health Check si vSAN non utilisé
→ Désactiver VMware HCX, vSphere Replication si non utilisés

3. Désactiver SLP sur ESXi

# Désactiver le service SLP (exploité par ESXiArgs)
esxcli system maintenanceMode set --enable true
/etc/init.d/slpd stop
esxcli network firewall ruleset set -r CIMSLP -e false
chkconfig slpd off

4. Activer vSphere Authentication Proxy et MFA

Activez l'authentification multi-facteurs pour l'accès à vCenter, idéalement via intégration avec votre IdP (Active Directory, Okta, etc.).

5. Segmenter le trafic de management ESXi

Le trafic VMkernel de management ESXi doit être sur un VLAN dédié, non routable depuis les réseaux utilisateurs.

6. Sauvegardes hors-band

Les sauvegardes de VMs doivent être stockées dans un système de sauvegarde isolé de vCenter — un ransomware qui compromet vCenter peut aussi supprimer les snapshots et sauvegardes VMware natifs.

Patch management VMware : les spécificités

VMware publie ses patches via VMware Customer Connect. Pour ESXi, utilisez l'Update Manager intégré à vCenter ou la commande CLI :

# Vérifier les patches disponibles pour ESXi
esxcli software profile get

# Mettre à jour via VIB
esxcli software vib update -d /vmfs/volumes/datastore/patch.zip

Attention : certains patches ESXi nécessitent un reboot de l'hyperviseur → planifiez des fenêtres de maintenance avec migration vMotion préalable.

Enregistrez vos versions vCenter et ESXi dans votre parc sur cveo.tech pour recevoir des alertes automatiques sur les nouvelles CVE VMware.

Monitor CVEs with AI

AI-powered search, CVSS scoring, asset monitoring and automatic alerts.

Try AI search →Create free account

Related articles

Patch Management Guide: How to Handle CVEs Quickly and Effectively

Learn how to build a robust CVE patch management process: SLAs by severity, key steps, tools, and common mistakes to avoid to protect your infrastructure.

How to Monitor CVE Vulnerabilities Across Your IT Assets

A complete guide to tracking and managing CVEs affecting your IT infrastructure: methods, tools, and best practices for IT teams and security managers.

How to Conduct a CVE Security Audit of Your IT Infrastructure

Complete guide to conducting a CVE security audit: asset inventory, vulnerability scanning, CVSS scoring, remediation planning, and CISO best practices.