Hai un dominio .IT? Ti regaliamo il .EU!

Breaking News

Attacco ransomware ai server VMware ESXi: come difendersi?

2 minuti lettura
Attacco ransomware ai server VMware ESXi

Il primo weekend di febbraio è stato caratterizzato da massicci attacchi hacker che hanno coinvolto dapprima la Francia, per poi estendere il raggio d’azione in Canada, Stati Uniti, Nord America, Finlandia e anche in Italia.

Quest’ondata sfrutta una vecchia vulnerabilità, la CVE-2021–21974, che prende di mira gli hypervisor VMware ESXi, un software per la virtualizzazione installato direttamente sul server fisico, relativamente al servizio OpenSLP (Service Location Protocol) in ascolto sulla porta 427.

I sistemi interessati sono i seguenti:

  • Versioni di ESXi 7.x precedenti a ESXi70U1c-17325551
  • Versioni di ESXi 6.7.x precedenti a ESXi670-202102401-SG
  • Versioni di ESXi 6.5.x precedenti a ESXi650-202102101-SG
  • VMware Cloud Foundation (ESXi) 3.x
  • VMware Cloud Foundation (ESXi) 4.x

Il ransomware in questione, battezzato come ESXiArgs, sfruttando un problema di “heap buffer overflow” del servizio SLP potrebbe consentire l’esecuzione di codice in modalità remota sui server e prende di mira nello specifico file .vmxf, .vmx, .vmdk, .vmsd, e .nvram.

Pur trattandosi di una vulnerabilità nota e per la quale il vendor aveva già rilasciato una patch nel 2021, i server che non avevano provveduto a implementare l’aggiornamento di sicurezza sono stati per tutto questo tempo esposti a nuove intrusioni.

Stando a quanto riportato da la Repubblica, sono 19 i server sparsi su tutto il territorio italiano finiti sotto attacco (per un totale di 300 in tutta Europa) e gestiti perlopiù da piccole e medie imprese che operano in settori non critici.

Indice dei contenuti:

Cosa fare?

In merito a questa campagna di attacco, il CSIRT italiano (Computer Security Incident Response Team) ha riportato quanto pubblicato nel security advisory del Computer Emergency Response Team Francese (CERT-FR), in cui si invita a seguire le indicazioni fornite da VMware a questo link: www.vmware.com/security/advisories/VMSA-2021-0002.html

In sintesi, viene raccomandato di disabilitare il servizio SLP sugli hypervisor ESXi che non sono stati aggiornati e di procedere ad applicare tutte le patch disponibili. Al contempo, si consiglia di eseguire una scansione del sistema per identificare le eventuali compromissioni. Questo perché il malintenzionato potrebbe avere già sfruttato la vulnerabilità ed essere stato in grado di eliminare il codice dannoso.

Cybersecurity First

Pur essendo colpito in maniera marginale il nostro Paese, talvolta è la scarsa attenzione delle aziende in materia di sicurezza informatica che determina il successo degli attacchi. In questa circostanza, infatti, la vulnerabilità era nota da quasi due anni e VMware aveva provveduto a fornire la patch per correggere il bug.

Ciò evidenzia quanto sia fondamentale l’attività di prevenzione, che in genere si spiega nell’aggiornamento delle infrastrutture per evitare l’esposizione dei sistemi e nella disposizione di un piano di Disaster Recovery, in modo da ripristinare i backup dei dati e file nell’arco di breve tempo e garantire la stabilità del business aziendale.

Avatar photo
409 articoli

Note sull'autore
Marketing Assistant - Appassionata di scrittura e amante della comunicazione digitale, in Shellrent supporta le imprese nell’identificazione delle soluzioni ideali in materia di hosting, cloud e infrastrutture IT
Articoli
Articoli correlati
Breaking News

Hai un dominio .IT? Shellrent ti regala il .EU

1 minuti lettura
In occasione dell’anniversario della Liberazione d’Italia, Shellrent ha preparato un regalo unico per contribuire ad ampliare la tua presenza online nel panorama…
Breaking News

Qual è il miglior client di posta elettronica?

6 minuti lettura
Nel corso degli anni, la posta elettronica ha acquisito sempre più rilevanza diventando un mezzo di comunicazione indispensabile a 360°, ovvero sia…
Breaking News

Migliori browser a confronto: quale scegliere?

2 minuti lettura
Il browser è lo strumento essenziale per navigare sul web. È la porta d’accesso a tutto ciò che Internet ha da offrire,…