Richard Garsthagen est à la fois blogueur et Senior Evangelist VMware EMEA. Pas franchement le genre à dire du mal de la main qui le nourrit. Mais l’un de ses derniers billets risque de lui faire battre des records de hits. De par son titre déjà, alarmiste en diable : « Scary! Is your VMware server being hacked??? ». Car inspiré par les conférences de la dernière BH de Barcelone, notre évangéliste-blogueur s’est demandé combien de consoles de management VMware seraient visibles sur Internet. Car, rappelle-t-il, une bonne station d’administration est généralement située dans son propre réseau isolé, et à plus forte raison coupée du monde extérieur qu’est le réseau public.
Garsthagen se met donc à appliquer les méthodes de Johnny « I hack Stuff » Long et se met à balayer Internet à la recherche de signatures particulières via les API VMware. Adresse IP, numéro de version et de « build », en moins de 24 heures, le scanner à architectures VM avait amassé une conséquente collection de serveurs « exposés » (ESX, ESXi et vCenter), dont certains, précise l’auteur, étaient de « très vieilles versions dont on pouvait se demander si elles avaient bien reçu leur lot nécessaire de correctifs ».Question aussi rhétorique qu’ironique.
Mais le terme « scary » était-il bien approprié ? Une machine « visible » n’est pas nécessairement une machine « exploitable ». Certes, connaître le numéro de version d’un serveur, c’est déjà offrir sur un plateau une indication guidant un cracker ou un pentester vers telle ou telle collection d’exploits. Mais guère plus que ne peut le faire « l’infamous nMap » de Fyodor, longtemps accusé de faire le jeu des black hats. C’est oublier que le scanner n’est pas la faille, que la carte n’est pas le lieu. En ces temps où « l’advanced persistent threat » fait figure d’épouvantail et où les hordes de crackers aux yeux bridés se tapissent derrière chaque remaniement ministériel, au tournant de chaque communiqué de presse publié par un vendeur de firewall, titrer « Scary » suivi d’un triple point d’exclamation n’est qu’une adaptation quasi pavlovienne à l’ambiance actuelle. Cela n’atténue en rien l’intérêt d’un tel test.
Il ne faudrait surtout pas résumer le papier de Garsthagen à cette simple et amusante étude. Car l’auteur signale également avoir commis un très intéressant « how to » qui traite de l’installation d’Ossec, un outil gratuit diffusé par Trend Micro et qui joue le rôle de « chien de garde comportemental » dans l’univers VMware. Ossec utilise une base de connaissance issue d’une compilation bien tempérée de log d’ESX et ESXi, base qui permet à cet automate d’émettre une alerte lorsque des actions anormales et répétitives sont commises dans le cadre d’une architecture VMware.