Il primo weekend di febbraio è stato caratterizzato da massicci attacchi hacker che hanno coinvolto dapprima la Francia, per poi estendere il raggio d’azione in Canada, Stati Uniti, Nord America, Finlandia e anche in Italia.
Quest’ondata sfrutta una vecchia vulnerabilità, la CVE-2021–21974, che prende di mira gli hypervisor VMware ESXi, un software per la virtualizzazione installato direttamente sul server fisico, relativamente al servizio OpenSLP (Service Location Protocol) in ascolto sulla porta 427.
I sistemi interessati sono i seguenti:
- Versioni di ESXi 7.x precedenti a ESXi70U1c-17325551
- Versioni di ESXi 6.7.x precedenti a ESXi670-202102401-SG
- Versioni di ESXi 6.5.x precedenti a ESXi650-202102101-SG
- VMware Cloud Foundation (ESXi) 3.x
- VMware Cloud Foundation (ESXi) 4.x
Il ransomware in questione, battezzato come ESXiArgs, sfruttando un problema di “heap buffer overflow” del servizio SLP potrebbe consentire l’esecuzione di codice in modalità remota sui server e prende di mira nello specifico file .vmxf, .vmx, .vmdk, .vmsd, e .nvram.
Pur trattandosi di una vulnerabilità nota e per la quale il vendor aveva già rilasciato una patch nel 2021, i server che non avevano provveduto a implementare l’aggiornamento di sicurezza sono stati per tutto questo tempo esposti a nuove intrusioni.
Stando a quanto riportato da la Repubblica, sono 19 i server sparsi su tutto il territorio italiano finiti sotto attacco (per un totale di 300 in tutta Europa) e gestiti perlopiù da piccole e medie imprese che operano in settori non critici.
Indice dei contenuti:
Cosa fare?
In merito a questa campagna di attacco, il CSIRT italiano (Computer Security Incident Response Team) ha riportato quanto pubblicato nel security advisory del Computer Emergency Response Team Francese (CERT-FR), in cui si invita a seguire le indicazioni fornite da VMware a questo link: www.vmware.com/security/advisories/VMSA-2021-0002.html
In sintesi, viene raccomandato di disabilitare il servizio SLP sugli hypervisor ESXi che non sono stati aggiornati e di procedere ad applicare tutte le patch disponibili. Al contempo, si consiglia di eseguire una scansione del sistema per identificare le eventuali compromissioni. Questo perché il malintenzionato potrebbe avere già sfruttato la vulnerabilità ed essere stato in grado di eliminare il codice dannoso.
Cybersecurity First
Pur essendo colpito in maniera marginale il nostro Paese, talvolta è la scarsa attenzione delle aziende in materia di sicurezza informatica che determina il successo degli attacchi. In questa circostanza, infatti, la vulnerabilità era nota da quasi due anni e VMware aveva provveduto a fornire la patch per correggere il bug.
Ciò evidenzia quanto sia fondamentale l’attività di prevenzione, che in genere si spiega nell’aggiornamento delle infrastrutture per evitare l’esposizione dei sistemi e nella disposizione di un piano di Disaster Recovery, in modo da ripristinare i backup dei dati e file nell’arco di breve tempo e garantire la stabilità del business aziendale.
