Cosa sappiamo dell’attacco hacker sui sistemi VMware ESXi

In rete è stato rilevato un massiccio sfruttamento attivo della vulnerabilità CVE-2021-21974 presente nei prodotti VMware ESXi. Questa vulnerabilità, già sanata dal vendor nel febbraio 2021, è stata utilizzata per il rilascio di ransomware. Il Computer Emergency Response Team Francese (CERT-FR) ha pubblicato un security advisory sulla relativa campagna, che ne evidenzia i dettagli e conferma che la stessa è stata indirizzata anche verso soggetti nazionali. La vulnerabilità, di tipo “heap buffer overflow” e relativa alla componente OpenSLP, ha un punteggio CVSS v3 pari a 8.8. Se sfruttata, potrebbe permettere l’esecuzione di comandi arbitrari (RCE) sui dispositivi target. Questo rappresenta un rischio ALTO/ARANCIONE (70,25/100) per la comunità di riferimento.

Cos’è VMware ESXi e in cosa consiste la vulnerabilità

VMware ESXi è una piattaforma di virtualizzazione che viene utilizzato per creare e gestire macchine virtuali. Im prodotto utilizzato dalle aziende che hanno una grande quantità di sistemi e server da gestire, poiché permette di creare e gestire più ambienti virtuali su un singolo fisico. VMware ESXi è utilizzato in molti luoghi, come aziende, università e organizzazioni governative.

Una vulnerabilità “heap buffer overflow” si verifica in un software quando un programmatore alloca una quantità di memoria insufficiente per un determinato processo o task. Questo può causare un overflow della memoria del “heap”, una porzione della memoria del computer utilizzata per archiviare le informazioni dinamiche. Se un cybercriminale riesce a sfruttare questa vulnerabilità, potrebbe eseguire comandi arbitrari sul sistema o accedere a informazioni sensibili come password o dati personali. In alcuni casi, un attacco di questo tipo potrebbe anche causare un crash del sistema o una vulnerabilità a ulteriori attacchi. In questo caso è stato sferrato un attacco di tipo ransomware, ovvero un software malevolo in grado di inibire l’accesso ai dati o al sistema operativo di un computer. Ecco le versioni interessate alla vulnerabilità:

  • Versioni di ESXi 7.x precedenti a ESXi70U1c-17325551
  • ESXi versioni 6.7.x precedenti a ESXi670-202102401-SG
  • ESXi versioni 6.5.x precedenti a ESXi650-202102101-SG

La portata dell’attacco

Secondo i colleghi di Red Hot Cyber, gli attacchi che sfruttano la vulnerabilità CVE-2021-21974 ha già colpito oltre 500 macchine questo fine settimana mentre circa 20 macchine ESXi sono state colpite ogni ora. I sistemi colpiti provengono da tutto il mondo. Attualmente i Paesi più colpiti sono Italia, Francia e Finlandia, con USA e Canada con un ragguardevole numero di attacchi sferrati. Sempre secondo quanto riportato dai colleghi di Red Hot Cyber, i criminali informatici hanno richiesto 2 bitcoin di riscatto, ovvero circa 42.000 euro. Il denaro, si legge nel messaggio di chi ha colpito i sistemi, dovrà essere trasferito entro tre giorni, oppure gli utenti saranno notificati del data breach, con la minaccia che i dati saranno venduti a competitor o altri criminali.

Credit: Red Hot Cyber.

In Italia la situazione sembra meno grave del previsto, sarebbero circa 20 i server colpiti, su circa 600 vulnerabili. Tra le vittime anche l’Università di Napoli. Diversamente da quanto si crede, TIM non risulterebbe tra le vittime. Il down avvenuto ieri sulle reti dell’operatore, sarebbe dunque scollegato rispetto agli avvenimenti di questi ultimi giorni.

Cosa fare per difendersi

L’Agenzia di Cybersicurezza Nazionale (ACN) ha esortato ad eseguire gli aggiornamenti per evitare che venga sfruttata la vulnerabilità. Gli omologhi francesi hanno inoltre riferito che applicare la patch di sicurezza potrebbe non essere sufficiente, perché si potrebbe essere già stati infettati. Per cui è necessario effettuare una scansione per verificare che i sistemi non siano già stati infettati. Se il computer è stato infettato da un ransomware, è importante seguire questi passi:

  1. Disconnetti il computer dalla rete: per evitare che il ransomware si diffonda ai file condivisi e ad altri dispositivi della rete, è necessario scollegare il computer dalla rete o disabilitare il Wi-Fi o l’Ethernet.
  2. Esegui una scansione antivirus: utilizza un software antivirus affidabile per eseguire una scansione completa del sistema e rimuovere il malware.
  3. Utilizza una copia di backup: se disponi di una copia di backup recente dei tuoi file, puoi utilizzarla per ripristinare i file crittografati.
  4. Non pagare il riscatto: non pagare il riscatto richiesto dai criminali informatici, poiché questo finanzia il crimine e non garantisce il recupero dei file.
  5. Avvisa le autorità: informa le autorità locali o le organizzazioni di sicurezza informatica per ottenere supporto nella risoluzione del problema e per prevenire futuri attacchi di ransomware.
  6. Prendi misure di sicurezza: per evitare futuri attacchi di ransomware, è importante che tu e le organizzazioni prendiate misure di sicurezza adeguate, come ad esempio l’utilizzo di software antivirus, il backup regolare dei file e la formazione degli utenti sulla sicurezza informatica.

Le dichiarazioni di Trend Micro

Anche nel 2022 l’Italia si è confermata tra i Paesi europei più colpiti da attacchi malware e ransomware, spesso veicolati attraverso lo sfruttamento di vulnerabilità. Casi come questo confermano l’importanza di mantenere la soglia di attenzione sempre molto alta. È prioritario dotarsi di sistemi di protezione adeguati e provvedere costantemente alla manutenzione e all’aggiornamento delle infrastrutture di difesa, per evitare di dover pagare poi pesanti dazi in termini di reputazione, disservizi alla propria clientela e multe per non aver rispettato le normative. Una strategia in questi casi può essere quella di adottare sistemi di virtual patching in grado di proteggere i propri sistemi anche prima del rilascio delle patch ufficiali da parte dei produttori dei sistemi colpiti. Nello specifico, il Team di Trend Micro Research a fronte delle ultime attività riscontrate sulla rete globale, consiglia a tutte le organizzazioni di verificare costantemente eventuali flussi di rete insoliti e di mantenere i sistemi aggiornati alle ultime release e patch. Spesso le attività fraudolenti trovano spazio attraverso lo sfruttamento di vulnerabilità non più recenti ma fatali per applicazioni e infrastrutture critiche”.

L’analisi di Check Point Software

Nella mattinata del 6 febbraio è giunta in redazione l’analisi di Check Point Software. L’agenzia di sicurezza ha informato che l’attacco portato avanti nelle scorse ore, è differente dai consueti attacchi che mirano le infrastrutture italiane. Difatti ad essere colpiti ed esposti a data breach, il ransomware ha un potenziale impatto che può riversarsi sull’intera cittadinanza. I disagi potrebbero essere a livello nazionale o globale.

Lo scorso anno Check Point Research aveva segnalato un aumento del ransomware del 59% su base annua globalmente. In seguito all’attacco, l’agenzia ribadisce che difendersi e prevenire le minacce informatiche deve essere la priorità di chiunque, dall’utente privato ai vertici governativi. Nella nota si legge che il cyber attacck che ha colpito i server ESXi, è stato il più imponente rivolto a macchine non Windows. Fino a poco tempo fa, rivela Pierluigi Torriani, Security Engineering Manager di Check Point Software Technologies, gli attacchi ransomware erano limitati proprio alle macchine basate su Windows. Risulta dunque evidente come gli attori delle minacce hanno compreso quanto siano cruciali i server Linux per sistemi di enti e organizzazioni. Torriani conclude con un commento inquietante: “Il danno è probabilmente diffuso su ampia scala, più di quanto possiamo immaginare”.

La nota di Palazzo Chigi

Nella mattinata a Palazzo Chigi si sono riuniti il Sottosegretario con delega alla Cybersecurity Alfredo Mantovano e l’Ing. Roberto Baldoni e l’amb. Elisabetta Belloni. La riunione ha stabilito che, sebbene l’accaduto è risultato grave, in Italia non è stata colpita nessuna Istituzione o azienda primaria, che opera in settori critici per la sicurezza nazionale. Le attività ricognitive di ACN (Agenzia per la Cybersicurezza Nazionale) e della Polizia Postale, non hanno fatto emergere evidenze che riconducano ad un’aggressione da parte di un soggetto statale o di uno Stato ostile. Si tratta probabilmente di un’azione di criminali informatici i quali richiedono un riscatto.

L’analisi di Cynet [update 7 febbraio]

In redazione è arrivata quest’oggi l’aggiornamento di Cynet. Il commento di Marco Lucchina, Channel Manager Italia, Spagna e Portogallo di Cynet ha commentato così l’attacco: “Attraverso il monitoraggio con strumenti di Open Source Intelligence – gli stessi usati dagli attaccanti – ad oggi abbiamo identificato, in Italia, 44 aziende compromesse e altre 404 potenzialmente compromesse. I rimanenti sono, in prevalenza, sistemi in hosting presso service provider (tipico di queste campagne) in quanto sono sistemi non gestiti e a volte addirittura dimenticati. Inoltre, di questi potenziali bersagli, una parte sono sicuramente honeypot, un sistema o componente hardware o software usato come “trappola” o “esca” utilizzati per osservare dall’interno il meccanismo di attacco e ricavarne gli opportuni IoC – Indicatori di compromissione-”. Un allarme eccessivo secondo le parole di Lucchina, che continua: “Si è generata una situazione di infodemia: ieri sera abbiamo ricevuto decine di richieste di intervento senza che ci fosse alcun valido motivo. Stavamo osservando lo svolgersi dell’attacco già da diversi giorni e, negli ultimi anni, ne abbiamo dovuti affrontare anche di più pericolosi. Occorre considerare che gran parte delle aziende nel mirino non ha potuto avere un approccio strutturato all’accaduto, in quanto non in possesso di adeguate soluzioni di monitoraggio dei propri sistemi.”

Aiutaci a crescere: lasciaci un like :)

Giornalista pubblicista, SEO Specialist, fotografo. Da sempre appassionato di tecnologia, lavoro nell'editoria dal 2010, prima come fotografo e fotoreporter, infine come giornalista. Ho scritto per PC Professionale, SportEconomy e Corriere della Sera, oltre ovviamente a Smartphonology.