Breaking News

Attacco ransomware ai server VMware ESXi: come difendersi?

2 minuti lettura
Attacco ransomware ai server VMware ESXi

Il primo weekend di febbraio è stato caratterizzato da massicci attacchi hacker che hanno coinvolto dapprima la Francia, per poi estendere il raggio d’azione in Canada, Stati Uniti, Nord America, Finlandia e anche in Italia.

Quest’ondata sfrutta una vecchia vulnerabilità, la CVE-2021–21974, che prende di mira gli hypervisor VMware ESXi, un software per la virtualizzazione installato direttamente sul server fisico, relativamente al servizio OpenSLP (Service Location Protocol) in ascolto sulla porta 427.

I sistemi interessati sono i seguenti:

  • Versioni di ESXi 7.x precedenti a ESXi70U1c-17325551
  • Versioni di ESXi 6.7.x precedenti a ESXi670-202102401-SG
  • Versioni di ESXi 6.5.x precedenti a ESXi650-202102101-SG
  • VMware Cloud Foundation (ESXi) 3.x
  • VMware Cloud Foundation (ESXi) 4.x

Il ransomware in questione, battezzato come ESXiArgs, sfruttando un problema di “heap buffer overflow” del servizio SLP potrebbe consentire l’esecuzione di codice in modalità remota sui server e prende di mira nello specifico file .vmxf, .vmx, .vmdk, .vmsd, e .nvram.

Pur trattandosi di una vulnerabilità nota e per la quale il vendor aveva già rilasciato una patch nel 2021, i server che non avevano provveduto a implementare l’aggiornamento di sicurezza sono stati per tutto questo tempo esposti a nuove intrusioni.

Stando a quanto riportato da la Repubblica, sono 19 i server sparsi su tutto il territorio italiano finiti sotto attacco (per un totale di 300 in tutta Europa) e gestiti perlopiù da piccole e medie imprese che operano in settori non critici.

Indice dei contenuti:

Cosa fare?

In merito a questa campagna di attacco, il CSIRT italiano (Computer Security Incident Response Team) ha riportato quanto pubblicato nel security advisory del Computer Emergency Response Team Francese (CERT-FR), in cui si invita a seguire le indicazioni fornite da VMware a questo link: www.vmware.com/security/advisories/VMSA-2021-0002.html

In sintesi, viene raccomandato di disabilitare il servizio SLP sugli hypervisor ESXi che non sono stati aggiornati e di procedere ad applicare tutte le patch disponibili. Al contempo, si consiglia di eseguire una scansione del sistema per identificare le eventuali compromissioni. Questo perché il malintenzionato potrebbe avere già sfruttato la vulnerabilità ed essere stato in grado di eliminare il codice dannoso.

Cybersecurity First

Pur essendo colpito in maniera marginale il nostro Paese, talvolta è la scarsa attenzione delle aziende in materia di sicurezza informatica che determina il successo degli attacchi. In questa circostanza, infatti, la vulnerabilità era nota da quasi due anni e VMware aveva provveduto a fornire la patch per correggere il bug.

Ciò evidenzia quanto sia fondamentale l’attività di prevenzione, che in genere si spiega nell’aggiornamento delle infrastrutture per evitare l’esposizione dei sistemi e nella disposizione di un piano di Disaster Recovery, in modo da ripristinare i backup dei dati e file nell’arco di breve tempo e garantire la stabilità del business aziendale.

Avatar photo
462 articoli

Note sull'autore
Appassionata di comunicazione digitale, in Shellrent scrivo e condivido contenuti tecnici, informativi e novità del mondo IT. Fuori dall'ufficio mi divido tra stadi, montagna e altri angoli del mondo.
Articoli
Articoli correlati
Breaking News

Aggiornamento versione PHP piani Hosting Linux Basic

2 minuti lettura
Negli ultimi mesi, Shellrent ha lavorato a un importante aggiornamento: l’implementazione di PHP 8.1 come versione predefinita per tutti i piani Hosting…
Breaking News

Black Week Shellrent: -80% su Hosting, VPS, SMTP, Storage e molto altro

2 minuti lettura
É iniziato il Black Friday di Shellrent, con la formula “Week”: un’intera settimana di promozioni, sino al Cyber Monday. Fino al 2…
Breaking News

Windows o Linux: quale sistema operativo scegliere per un VPS?

2 minuti lettura
In fase di configurazione di un server virtuale privato (VPS), un importante passaggio è la scelta del sistema operativo che svolge un…