“Il Computer Security Incident Response Team Italia (Csirt-IT) dell’Agenzia per la Cybersicurezza Nazionale (ACN), ha rilevato un massiccio attacco hacker tramite ransomware già in circolazione che prende di mira i server VMware ESXi”. Sono le prime parole scritte dal centro specializzato italiano, che aggiunge come l’attacco sia a livello globale, quindi in tutto il mondo, e riguarda “qualche migliaio di server” già compromesso. L’epicentro dell’attacco basato su ransomware (un meccanismo che chiede un riscatto per “liberare” i sistemi infetti) è partito dalla Francia, finora il Paese più colpito, per spostarsi in Finlandia, Italia e poi attraversare l’Atlantico fino agli Stati Uniti e il Messico e poi al resto dei Paesi. Si è parlato anche che Tim fosse colpita ma, come spieghiamo in questa pagina, il down del gestore è indipendente dall’attacco hacker.
La vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato da VMware, ma non tutti hanno applicato aggiornamenti e correttivi per risolverla. I server presi di mira privi di patch possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nelle ultime ore.
L’ANC scrive nella nota ufficiale “che è prioritario per chiunque chiudere le falle individuate e sviluppare un’adeguata strategia di protezione (…) siamo stati in grado di censire diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.
“L’attacco hacker avvenuto nella giornata di oggi in tutta Europa dimostra la necessità di investimenti per l’aumento della sicurezza cibernetica. Plaudiamo alla tempestivita’ dell’Agenzia per la Cybersicurezza. Da sempre sosteniamo la necessità di maggiori livelli di sicurezza cibernetica, anche per i servizi essenziali che interessano i cittadini. Vanno migliorate le strategie aziendali delle partecipate pubbliche tramite specifiche figure interne. Viviamo un contesto di grande pericolosità sul web, una guerra cibernetica: dobbiamo dotarci – conclude l’esponente FdI – di strumenti e normative adeguate”, commenta il presidente della commissione Cultura della Camera, e responsabile Innovazione FdI, Federico Mollicone.
Il down di TIM non è legato all’attacco hacker di VMware
In Italia, oltre ai server VMware, si è verificato anche un forte disservizio a carico di TIM per un effetto a catena sulla rete portante di Sparkle e FiberCop. I problemi del gestore non sono e non sembrano legati all’attacco hacker. Come spiega l’azienda in una nota: “Con riferimento al disservizio che si è verificato oggi, Tim comunica che il problema è rientrato e il servizio si è stabilizzato alle ore 16:55. Dalle verifiche effettuate, il problema ha riguardato il flusso dati su rete internazionale che ha generato un impatto anche in Italia. L’azienda si scusa con i propri clienti per il disagio arrecato”. Continua il provider: “È stato rilevato un problema di interconnessione internazionale e sono in corso le analisi per la risoluzione del problema. Il problema ovviamente impatta sul servizio a livello nazionale”. Anche la Polizia Postale ha escluso un cyber-attacco per il down di Tim, riferendosi a “problemi tecnici che interessano la rete Internet fissa e non quella mobile”.
Il bollettino ufficiale emesso dal Csirt relativo all’attacco ransomware su piattaforma WMware: “Rilevato lo sfruttamento massivo della CVE-2021–21974 in VMWare ESXi”
Sintesi
Rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021 – presente nei prodotti VMware ESXi.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (70,25/100).
Descrizione
È stato recentemente rilevato lo sfruttamento massivo, ai fini del rilascio di ransomware, della vulnerabilità CVE-2021–21974 trattata da questo CSIRT nell’alert AL03/210224/CSIRT-ITA. Sulla relativa campagna il Computer Emergency Response Team Francese (CERT-FR) ha pubblicato un security advisory, disponibile nella sezione riferimenti, in cui si evidenziano i relativi dettagli.
Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali.
Qualora sfruttata, tale vulnerabilità, con score CVSS v3 pari a 8.8, di tipo “heap buffer overflow” e relativa alla componente OpenSLP – con riferimento ai prodotti VMware ESXi e Cloud Foundation (ESXi) – potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.
Per eventuali ulteriori approfondimenti si consiglia di consultare il security advisory, disponibile nella sezione Riferimenti.
Prodotti e versioni affette
VMware ESXi 6.5
VMware ESXi 6.7
VMware ESXi 7.0
VMware Cloud Foundation (ESXi) 3.x
VMware Cloud Foundation (ESXi) 4.x
Azioni di Mitigazione
Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
https://www.csirt.gov.it/contenuti/vulnerabilita-su-prodotti-vmware-al03-210224-csirt-ita
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/
