È in corso un attacco hacker globale sui sistemi VMware
5 Febbraio 2023
0
0
SysAdmin, provider di hosting e il team di risposta alle emergenze informatiche francesi (CERT-FR) stanno emettendo avvisi relativi ad attacchi hacker che stanno prendendo di mira i server VMware ESXi che sono vulnerabili a causa di un difetto di esecuzione di codice remoto senza patch vecchio di due anni.
Anche l’Agenzia per la Cybersicurezza Nazionale (ACN) in Italia ha rilevato un attacco hacker di massa tramite un ransomware noto.
L’attacco mira ai server VMware ESXi e si è diffuso inizialmente in Francia, ma ha poi colpito altri paesi tra cui Italia, Canada e Stati Uniti. Al momento, sono stati compromessi alcune migliaia di server in tutto il mondo.
L’obiettivo finale di questi aggressori è installare ransomware su questi sistemi.
La vulnerabilità tracciata come CVE-2021-21974 è una falla di sicurezza critica trovata nel servizio OpenSLP di VMware ESXi.
La vulnerabilità consente agli aggressori non autenticati di eseguire attacchi di esecuzione di codice in modalità remota sui sistemi interessati. Il problema è causato da un overflow dell’heap, che si verifica quando il sistema tenta di elaborare dati in eccesso che superano l’allocazione di memoria designata per il processo.
Di conseguenza, gli aggressori possono assumere il controllo del sistema interessato, eseguire codice arbitrario e potenzialmente rubare informazioni sensibili o installare malware, come ransomware.
Pertanto, è essenziale applicare patch ai server VMware ESXi per proteggersi da questa vulnerabilità. “Secondo le indagini in corso, queste campagne di attacco sembrano sfruttare la vulnerabilità CVE-2021-21974, per la quale è disponibile una patch dal 23 febbraio 2021”, ha affermato CERT-FR.
I sistemi attualmente presi di mira sarebbero gli hypervisor ESXi nella versione 6.xe precedenti alla 6.7.
Per prevenire attacchi in arrivo, si consiglia agli amministratori di disattivare il servizio SLP (Service Location Protocol) sensibile sugli hypervisor ESXi che non sono ancora stati aggiornati.
Il team francese di risposta alle emergenze informatiche (CERT-FR) sottolinea con forza l’importanza di applicare l’aggiornamento non appena possibile, ma sottolinea anche la necessità di scansionare i sistemi privi di patch alla ricerca di segni di compromissione.
CVE-2021-21974 interessa i seguenti sistemi:
ESXi versioni 7.x precedenti a
ESXi70U1c-17325551
ESXi versioni 6.7.x precedenti a ESXi670-202102401-SG
ESXi versioni 6.5.x precedenti a ESXi650-202102101-SG
Continue reading at https://angrysysops.com/2023/02/03/someone-is-encrypting-an-unpatched-vmware-esxi-6-x-servers-that-are-open-to-the-internet/
