Nella tarda serata di Venerdì è stato diffuso un bollettino di sicurezza, da parte dell’Agenzia della Cybersicurezza Nazionale, riguardante un attacco hacker che sfruttava la vulnerabilità CVE-2021–21974 – già sanata da VMware nel febbraio 2021 – presente nei prodotti ESXi.
La vulnerabilità del software di virtualizzazione utilizzato in molti alcuni server è stata sfruttata dai criminali per crittare i file e chiedere un riscatto di 2 bitcoin per ogni server.
La falla era stata lasciata “dormiente” da tempo, in quanto nota ma ignorata dai gestori dei server interessanti, in quanto non avevano provveduto ad aggiornare i prodotti da più di un anno.
La vulnerabilità di tipo “heap buffer overflow” relativa alla componente OpenSLP, qualora sfruttata, potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi presi di mira. Sostanzialmente l’ondata di attacchi consentirebbe la distribuzione di ransomware sui sistemi colpiti.
I prodotti interessati sono:
- VMware ESXi 6.5
- VMware ESXi 6.7
- VMware ESXi 7.0
- VMware Cloud Foundation (ESXi) 3.x
- VMware Cloud Foundation (ESXi) 4.x
Nel mondo sembrano essere stati compromessi 2300 server dei quali per ora solo 20 sul territorio italiano. I bollettini di sicurezza, infatti, sono stati rilasciati anche da altri CERT (Computer Emergency Response Team) europei e dal provider OVH. Non si tratta, pertanto, di alcun attacco hacker avente come obiettivo specifico le infrastrutture italiane.
Proprio il provider francese di servizi cloud OVHcloud ha dichiarato che gli attacchi sono stati rilevati a livello globale, con un focus specifico sull’Europa. Si sospetta che le intrusioni siano legate a un nuovo ceppo di ransomware basato su Rust, chiamato Nevada, emerso sulla scena nel dicembre 2022.
La mitigation consiste nell’eseguire l’aggiornamento all’ultima versione di ESXi per ridurre le potenziali minacce e di restringere l’accesso al servizio OpenSLP ai soli indirizzi IP ritenuti noti ed affidabili.