logo

CybergON Blog

Advancing the State of Cybersecurity.

Attacco ai server VMware ESXi: cosa è successo

Nella giornata di domenica 5 febbraio le testate giornalistiche, i telegiornali nazionali e le radio hanno parlato di un massiccio attacco informatico in tutto il mondo che ha visto colpita anche la nostra Nazione.

Ma è davvero così?

Ripercorriamo insieme le tappe e ricostruiamo cosa è successo.

attacco-server-vmware-esxi

Cosa è successo

Venerdì 3 febbraio l’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato, in una comunicazione sul CSIRT italiano, di aver rilevato un “massiccio sfruttamento” attivo in rete della vulnerabilità CVE-2021-21974 presente nei prodotti VMware EXSi.

Sull’accaduto, sempre nella stessa giornata, il CERT-Francese aveva pubblicato un Security Advisory in cui evidenziava i dettagli dello sfruttamento. Dalle analisi è emerso che la campagna era indirizzata anche verso soggetti nazionali.

In particolare, ad oggi, risultano compromessi circa 2400 server totali, dei quali circa una ventina interessano l’Italia. Nella foto sottostante troviamo la mappatura dei server compromessi.

attacco-server-vmware-esxi-worldwide

Con un dettaglio anche alla situazione europea.

attacco-server-vmware-esxi-europa

Facendo riferimento all’Europa, sono state diverse le Nazioni prese di mira, ma gli attacchi non sono stati così consistenti come è stato riportato. Lo dimostra l’esempio dell’Italia che, come già accennato sopra, è stata interessata solo da circa 20 server compromessi.

Come comportarsi

Il primo aspetto da sottolineare riguarda il fatto che la vulnerabilità è del 2021 e la relativa patch è stata resa disponibile da Febbraio 2021. Quello che emerge con evidente criticità nell’analisi di questa situazione non è tanto lo sfruttamento della vulnerabilità da parte di una cyber gang, quanto più la mancata applicazione della patch di sicurezza anche dopo due anni dalla sua evidenza.

Ormai da anni i cyber criminali utilizzano lo sfruttamento di vulnerabilità per infiltrarsi all’interno di infrastrutture, corrompere i dati e richiedere un riscatto, in cambio del recupero dei file. Sono anche anni che si ricevono notizie di sfruttamento di vulnerabilità zero-day, cioè vulnerabilità rilevate ma per la quale i produttori del software ancora non hanno creato una patch.

Tuttavia il caso sopracitato non rispecchia la realtà attuale, poiché, come già detto in precedenza, la patch era stata rilasciata immediatamente dopo la scoperta della vulnerabilità stessa ed è ampiamente disponibile da un lungo periodo di tempo. Il focus del problema, dunque, deve necessariamente spostarsi sulla mancanza di processi che garantiscano una pronta applicazione delle patch nell’esatto momento in cui queste diventano pubbliche, e non sullo sfruttamento delle vulnerabilità in sé.

Non è più possibile prendersi il lusso di pensare che una determinata realtà aziendale non possa essere presa di mira, semmai è il momento di realizzare il contrario. Il target dei gruppi criminali si è allargato non solo alle grandi aziende ma anche alle PMI, detentrici spesso di Proprietà Intellettuale di rilevanza per il business, ma non abbastanza strutturate a livello di sicurezza informatica: il bersaglio perfetto.

Nella foto sottostante si riporta uno screen della chat del gruppo criminale Nevada che sta sfruttando la vulnerabilità di ESXi per la distribuzione del ransowmare.

attacco-server-vmware-esxi

Cosa fare

La vulnerabilità, nota come CVE-2021-21974 e con uno score 8.8 sulla scala CVSS.V3, consiste in una remote command execution (RCE), ovvero una vulnerabilità che permette l’esecuzione di codice da remoto, che potrebbe essere sfruttata da un attaccante esterno alla rete aziendale e non autenticato, a causa di un problema presente nel servizio OpenSLP. La patch di sicurezza che risolve questo problema è stata distribuita da VMWare nel febbraio 2021, pertanto i sistemi aggiornati non sono soggetti a questa problmatica.

Per eventuali dubbi, riportiamo il link alla pagina Security Advisories ufficiale dell’azienda e relativa alla vulnerabilità in questione. Oltre ad applicare la patch di sicurezza, è possibile risolvere il problema su una versione di ESXi vulnerabile disattivando il servizio SLP.

Troppa confusione

Ad acuire il senso di pericolo e agitazione, negli stessi giorni sono stati registrati due eventi che hanno impattato gli utenti: il down della rete Tim e l’attacco informatico ad Acea. Nell’arco di poche ore, questi tre trend sono stati fatti convergere in un unico tema generale: attacco informatico a Tim e Acea.

Si sottolinea che tale associazione di idee e la narrazione che ne è seguita sono totalmente false e disconnesse tra di loro.

Tim ha registrato problemi alla connessione Internet, sia su rete fissa che mobile, su tutto il territorio nazionale. Nel pomeriggio un portavoce dell’azienda ha fatto sapere che il down era dovuto ad un problema di interconnessione internazionale e che erano in corso delle analisi per la risoluzione del problema. Dunque, nessuna conseguenza imputabile ad un attacco informatico in corso. Ne è la prova anche la risoluzione del problema: la stessa tempistica di ripristino, infatti, sarebbe pressoché impossibile se il danno fosse causato da un attacco informatico di livello critico.

Il secondo tema ha riguardato l’attacco ad Acea, azienda che si occupa della gestione dei rifiuti, della produzione e distribuzione dell’energia elettrica e del servizio idrico per la città di Roma. L’azienda è stata colpita da un attacco sferrato dalla cyber gang BlackBasta, che sembrava aver compromesso il funzionamento dei sistemi IT. Onde evitare che le conseguenze dell’attacco si propagassero su altre risorse informatiche, si è provveduto allo spegnimento dei server potenzialmente raggiungibili dal malware. Infine, l’azienda, grazie a delle soluzioni di backup adeguate, è stata in grado di tornare operativa senza perdita di dati né pagamento del riscatto.

Come emerge da fonti ufficiali anche delle aziende coinvolte, quindi, non vi è una correlazione tra l’attacco informatico e la compromissione di VMware EXSi.

In conclusione

Il weekend ha portato grande scompiglio principalmente a livello mediatico e sugli utenti finali, poiché chi lavora nel mondo della cyber security è abituato a confrontarsi spesso con scenari di questo tipo. Come CybergON, ci sentiamo quindi di spingere per un ridimensionamento della percezione della portata dell’attacco, che non sembra più grave o più sofisticato rispetto a quelli che vengono organizzati e condotti quotidianamente.

Sebbene molti dispositivi siano stati crittografati, la campagna nel suo complesso non ha avuto successo: gli aggressori, infatti, non sono riusciti a crittografare i file flat in cui sono archiviati i dati del disco virtuale. Gli esperti hanno preparato uno script speciale per il ripristino dei server interessati, grazie ai quali dovrebbero esserci meno problemi per via dell’automatizzazione dell’intero processo CISA. Si consiglia di eseguire prima un backup dei file per evitare di incorrere ad una ulteriore compromissione.

Per finire, sottolineiamo l’importanza di questi momenti per accelerare la conoscenza della sicurezza informatica, in modo da evitare allarmismi e da mantenere un livello di protezione adeguato e aggiornato.

Se desiderassi il nostro supporto, puoi mandarci una mail a sos@cybergon.com con i dettagli della richiesta.