Bitdefender, rilascia oggi un importante avviso di sicurezza informatica in merito a una nuova ondata di attacchi ai server VMware ESXi che utilizzano vulnerabilità note, nuove tecniche e catene di exploit.
Bitdefender stima che oltre 10.000 server ESXi a livello globale siano ancora vulnerabili, ma probabilmente il numero è molto più elevato.
La scorsa settimana, criminali informatici ancora ignoti hanno iniziato a colpire in massa gli hypervisor VMware ESXi utilizzando la vulnerabilità di esecuzione di codice remoto pre-autorizzazione CVE-2021-21974, nota e facilmente sfruttabile per distribuire ransomware. La vulnerabilità CVE-2021-21974 attacca il protocollo di individuazione dei servizi “Service Location Protocol (SLP)“ che viene utilizzato in particolare per la scoperta di servizi condivisi su una rete, come le stampanti. ESXi, viene utilizzato per il monitoraggio. Il servizio SLP sugli host ESXi analizza l’input di rete senza autenticazione e viene eseguito come root. Una soluzione comune per molte aziende è stata quella di disabilitare la porta 427 che consentiva l’accesso al protocollo SLP.
Bitdefender Labs ha scoperto un nuovo approccio per aggirare le misure difensive applicate alla porta 427 prendendo di mira le macchine virtuali che utilizzano OpenSLP (un’implementazione personalizzata di VMware) per compromettere le distribuzioni di server VMware ESXi su cui risiedono.
La vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato dal produttore, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta.
Inoltre, Bitdefender ha osservato che i criminali informatici adottano diversi linguaggi di programmazione per colpire più sistemi operativi. Il vendor prevede un aumento degli attacchi contro gli hypervisor e i workload non Windows nel prossimo futuro.
Bitdefender invita le aziende a mantenere alta l’attenzione perché gli attacchi continuano ad aumentare e ad evolversi. Per evitare che abbiano successo, Bitdefender invita le aziende ad utilizzare soluzioni di sicurezza stratificate che incorporino funzionalità di prevenzione, rilevamento e risposta alle minacce oltre a procedure volte a controllare che i server VMware ESXi siano aggiornati con le ultime patch disponibili e che le soluzioni di sicurezza Extended Detection and Response (XDR) e Endpoint Detection and Response (EDR) e altre difese perimetrali siano aggiornate. Si consiglia inoltre di condurre un’esercitazione proattiva di ricerca delle minacce per identificare potenziali hacker nascosti.
L’impatto potenziale equivale alla presa di controllo totale di un server VMware ESXi (compreso lo spionaggio o l’invio di qualsiasi tipo di malware).
Ulteriori approfondimenti sono disponibili qui.