Comment sécuriser vos serveurs VMware contre Brickstorm

Comment sécuriser vos serveurs VMware contre Brickstorm

L’Agence américaine de cybersécurité et d’infrastructure (CISA) a récemment émis une alerte concernant un nouveau malware appelé Brickstorm, déployé par des pirates chinois sur les serveurs VMware vSphere. Ce malware sert de porte dérobée, permettant aux attaquants d’accéder à vos systèmes et de compromettre vos données. Ce tutoriel vous guidera pas à pas pour sécuriser vos serveurs VMware contre Brickstorm et renforcer votre infrastructure.

En bref

Pour sécuriser vos serveurs VMware contre le malware Brickstorm, il est crucial de mettre à jour vos systèmes vSphere vers les dernières versions. Ensuite, renforcez la sécurité en utilisant l’authentification multi-facteurs et en surveillant attentivement les journaux d’activité pour détecter toute anomalie. Enfin, implémentez une stratégie de sauvegarde régulière pour restaurer rapidement vos systèmes en cas d’attaque réussie.

Comprendre la menace Brickstorm et ses implications

sécuriser serveurs vmware brickstorm

Brickstorm est un logiciel malveillant sophistiqué conçu pour s’infiltrer discrètement dans les serveurs VMware vSphere. Une fois installé, il permet aux pirates d’exécuter des commandes à distance, de voler des données sensibles et de compromettre l’intégrité de vos systèmes. En réalité, la sophistication de ce malware le rend difficile à détecter avec des outils de sécurité classiques. Les entreprises utilisant VMware doivent donc prendre des mesures proactives pour se protéger.

Les implications d’une infection par Brickstorm peuvent être désastreuses :

  • Perte de données confidentielles (informations clients, données financières, secrets commerciaux).
  • Arrêt de service (indisponibilité des serveurs et des applications).
  • Atteinte à la réputation (perte de confiance des clients et des partenaires).
  • Coûts financiers importants (restauration des systèmes, amendes réglementaires).

Il est donc crucial de prendre cette menace au sérieux et de mettre en œuvre les mesures de sécurité appropriées.

Prérequis pour sécuriser vos serveurs VMware

Avant de commencer, assurez-vous de disposer des éléments suivants :

  1. Un serveur VMware vSphere en production.
  2. Un accès administrateur à vSphere.
  3. Une connexion Internet stable pour télécharger les mises à jour et les outils de sécurité.
  4. Un logiciel antivirus à jour installé sur vos serveurs VMware.
  5. Une sauvegarde récente de vos machines virtuelles (VM).

Ces prérequis vous permettront d’effectuer les opérations de sécurité en toute sérénité.

Étape 1 : Mettre à jour VMware vSphere vers la dernière version

sécuriser serveurs vmware brickstorm

La première étape pour vous protéger contre Brickstorm est de vous assurer que votre installation VMware vSphere est à jour. Les mises à jour contiennent souvent des correctifs de sécurité qui colmatent les vulnérabilités exploitées par les pirates. C’est une mesure indispensable.

  1. Connectez-vous à vSphere Client avec un compte administrateur.
  2. Dans le menu principal, cliquez sur « Mise à jour ».
  3. Vérifiez si des mises à jour sont disponibles.
  4. Si des mises à jour sont disponibles, téléchargez-les et installez-les en suivant les instructions à l’écran.
  5. Redémarrez vos serveurs VMware après l’installation des mises à jour.

Une fois la mise à jour terminée, vérifiez que tous les services VMware fonctionnent correctement.

Étape 2 : Activer l’authentification multi-facteurs (MFA)

sécuriser serveurs vmware brickstorm

L’authentification multi-facteurs (MFA) ajoute une couche de sécurité supplémentaire en exigeant un code de vérification en plus de votre mot de passe. Cela rend beaucoup plus difficile pour les pirates d’accéder à vos comptes, même s’ils ont volé votre mot de passe. En revanche, si vous n’activez pas MFA, vous vous exposez à un risque accru.

  1. Connectez-vous à vSphere Client avec un compte administrateur.
  2. Dans le menu principal, cliquez sur « Administration ».
  3. Sélectionnez « Utilisateurs et groupes ».
  4. Pour chaque utilisateur administrateur, activez l’authentification MFA en utilisant une application d’authentification (Google Authenticator, Authy, etc.).

Testez l’authentification MFA pour vous assurer qu’elle fonctionne correctement.

Étape 3 : Surveiller les journaux d’activité de VMware vSphere

La surveillance des journaux d’activité de VMware vSphere vous permet de détecter les activités suspectes et de réagir rapidement en cas d’attaque. Configurez des alertes pour être notifié en cas d’événements inhabituels.

  1. Connectez-vous à vSphere Client avec un compte administrateur.
  2. Dans le menu principal, cliquez sur « Surveillance ».
  3. Sélectionnez « Journaux ».
  4. Configurez des alertes pour les événements suivants :
    • Échecs de connexion répétés.
    • Modifications non autorisées de la configuration.
    • Création de nouveaux comptes utilisateurs.

Analysez régulièrement les journaux pour détecter les anomalies et les comportements suspects.

Étape 4 : Isoler les serveurs vulnérables (si nécessaire)

Si vous détectez une activité suspecte sur un serveur VMware, isolez-le immédiatement du reste de votre réseau. Cela empêchera le malware de se propager à d’autres systèmes. Toutefois, l’isolement doit être temporaire, le temps d’analyser et de corriger le problème.

  1. Déconnectez le serveur du réseau physique.
  2. Arrêtez les machines virtuelles (VM) hébergées sur le serveur.
  3. Analysez le serveur à l’aide d’un logiciel antivirus à jour.
  4. Si le serveur est infecté, restaurez-le à partir d’une sauvegarde propre.

Une fois le serveur nettoyé et sécurisé, reconnectez-le au réseau.

Étape 5 : Renforcer la sécurité de vos machines virtuelles

En plus de sécuriser vos serveurs VMware, il est important de renforcer la sécurité de vos machines virtuelles (VM). Appliquez les mêmes mesures de sécurité que sur vos serveurs physiques :

  • Installez un logiciel antivirus à jour.
  • Activez le pare-feu.
  • Mettez à jour le système d’exploitation et les applications.
  • Utilisez des mots de passe forts et uniques.

En outre, limitez les privilèges des utilisateurs et surveillez les journaux d’activité des VM.

Dépannage : problèmes courants et solutions

Voici quelques problèmes courants que vous pourriez rencontrer lors de la sécurisation de vos serveurs VMware, ainsi que leurs solutions :

  • Problème : Impossible de mettre à jour VMware vSphere. Solution : Vérifiez votre connexion Internet et assurez-vous que votre licence VMware est valide.
  • Problème : L’authentification MFA ne fonctionne pas. Solution : Vérifiez que l’heure de votre serveur est synchronisée avec un serveur de temps fiable.
  • Problème : Détection d’une activité suspecte dans les journaux. Solution : Isolez le serveur et analysez-le à l’aide d’un logiciel antivirus.

Si vous rencontrez d’autres problèmes, consultez la documentation VMware ou contactez le support technique.

Conseils supplémentaires pour une sécurité optimale

  • Effectuez des audits de sécurité réguliers pour identifier les vulnérabilités.
  • Formez vos employés aux bonnes pratiques de sécurité.
  • Mettez en place une politique de sécurité claire et concise.
  • Testez régulièrement votre plan de reprise après sinistre.

La sécurité de vos serveurs VMware est un processus continu. Restez informé des dernières menaces et adaptez vos mesures de sécurité en conséquence.

Questions frequentes

Comment savoir si mon serveur VMware est infecté par Brickstorm ?

La détection de Brickstorm peut être complexe. Surveillez les journaux d’activité de VMware à la recherche d’événements suspects, comme des connexions inhabituelles ou des modifications de configuration non autorisées. Utilisez également un logiciel antivirus à jour pour scanner vos serveurs et machines virtuelles.

Que faire si je découvre que mon serveur VMware est infecté ?

Isolez immédiatement le serveur infecté du reste de votre réseau pour empêcher la propagation du malware. Ensuite, analysez le serveur avec un logiciel antivirus et restaurez-le à partir d’une sauvegarde propre. Changez également tous les mots de passe associés au serveur.

L’authentification multi-facteurs (MFA) est-elle vraiment nécessaire pour VMware ?

Oui, l’authentification MFA est fortement recommandée pour renforcer la sécurité de vos serveurs VMware. Elle ajoute une couche de protection supplémentaire en cas de vol de mot de passe, rendant beaucoup plus difficile l’accès non autorisé à vos systèmes.

À quelle fréquence dois-je mettre à jour VMware vSphere ?

Il est crucial d’appliquer les mises à jour de sécurité de VMware vSphere dès qu’elles sont disponibles. Les mises à jour corrigent les vulnérabilités connues et protègent vos serveurs contre les attaques. Configurez votre système pour recevoir des notifications automatiques lorsque de nouvelles mises à jour sont disponibles.