Lo scorso fine settimana è stata rilevata una vulnerabilità critica in VMware ESXi, hypervisor (bare-metal) che viene utilizzato per la creazione e la gestione di macchine virtuali.

Il bollettino è stato diramato dal CSIRT-FR e poi comunicato dall’Agenzia per la Cybersicurezza Nazionale, allertando tutte le aziende italiane.

Cosa è successo

Alcuni hacker hanno sviluppato e distribuito in rete il ramsomware ESXiArg, che consentirebbe loro di accedere ai data center aziendali e assumerne il controllo, con la possibilità di eseguire comandi arbitrariamente, sfruttando la vulnerabilità CVE-2021-21974.

Quali sono i file aziendali nel mirino dell’attacco

Attualmente, sono molti i server VMware ESXi in tutto il mondo a essere stati compromessi, di cui anche alcuni italiani. I server risultano esposti a questa vulnerabilità, mettendo a rischio gli accessi dei sistemi aziendali, attraverso attacchi forzati sulle password.

Le versioni di VMware ESXi affette da tale vulnerabilità sono:

• VMware ESXi 6.5

• VMware ESXi 6.7

•  VMware ESXi 7.0

•  VMware Cloud Foundation (ESXi) 3.x

•  VMware Cloud Foundation (ESXi) 4.x

Le estensioni di maggiore interesse sui server ESXi compromessi sono:  .vmxf, .vmx, .vmdk, .vmsd e .nvram. Il ramsomware creerebbe un file .args per crittografare dati archiviati nei sistemi aziendali.

Come mitigare l’attacco: installiamo le patch

Già due anni fa, VMware aveva sollecitato rapidamente tutte le aziende del mondo a installare le patch correttive.

Il nostro consiglio, quindi, è quello riproposto dalla stessa VMware nell’installare la patch di sicurezza di febbraio 2021; per maggiori informazioni, si può fare riferimento all’advisory del vendor: https://www.vmware.com/security/advisories/VMSA-2021-0002.html

In questo modo, il servizio vulnerabile viene disabilitato.

La CISA (Cybersecurity and Infrastructure Security Agency), nel frattempo, ha rilasciato e pubblicato su GitHub lo script ESXiArgs-Recover per aiutare le vittime del ransomware ad automatizzare il processo di ripristino delle macchine virtuali.

Nello specifico, con lo script vengono rimossi i file crittografati dal ransomware, tendando di ricostruire il file della macchina virtuale.

Reti sicure per le aziende

Nell’era della trasformazione digitale, le aziende che hanno scelto di digitalizzarsi devono proteggere i propri data center, non solo attraverso firewall e antivirus, ma anche dotandosi di servizi di sicurezza adeguati e praticando una serie di azioni per garantire la corretta applicazione delle norme di sicurezza informatica.

È importante rivolgersi a specialisti informati su queste vulnerabilità e quindi fixare, patchare, curare le stesse. Avere nel planning aziendale un vulnerability scan condotto da specialisti è fondamentale per conoscere lo stato di sicurezza della propria rete e prendere le giuste precauzioni sanando quanto di anomalo trovato.

Noi siamo sempre a disposizione per approfondire la tematica e supportarti nella verifica dell’integrità della sicurezza della tua azienda. Chiamaci allo 0733.187.00.33.