Home Prodotti Sicurezza Cybersecurity, attacco informatico a migliaia di server nel mondo

Cybersecurity, attacco informatico a migliaia di server nel mondo

Una domenica tutt’altro che riposante per gli esperti di cybersecurity in tutto il mondo: è in corso, infatti, un massiccio attacco che ha coinvolto anche numerosi server in Italia

L’Agenzia per la cybersicurezza nazionale, ha emesso un incident report, in cui si evidenzia un “massiccio sfruttamento attivo in rete di una vulnerabilità presente nei prodotti VMware ESXi. Qualora sfruttata, tale vulnerabilità, di tipo “heap buffer overflow” e relativa alla componente OpenSLP – con riferimento ai prodotti VMware ESXi e Cloud Foundation (ESXi) – potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.”

L’Agenzia sottolinea che il vendor ha provveduto a sanare la vulnerabilità già a febbraio 2021.

Il commento di Trend Micro all’attacco cybersecurity in corso

Sulla grave situazione in corso, si è espresso Salvatore Marcis, Technical Director Trend Micro Italia: “anche nel 2022 l’Italia si è confermata tra i Paesi europei più colpiti da attacchi malware e spesso veicolati attraverso lo sfruttamento di vulnerabilità.
Casi come questo confermano l’importanza di mantenere la soglia di attenzione sempre molto alta.

È prioritario dotarsi di sistemi di protezione adeguati e provvedere costantemente alla manutenzione e all’aggiornamento delle infrastrutture di difesa, per evitare di dover pagare poi pesanti dazi in termini di reputazione, disservizi alla propria clientela e multe per non aver rispettato le normative.

Una strategia in questi casi può essere quella di adottare sistemi di virtual patching in grado di proteggere i propri sistemi anche prima del rilascio delle patch ufficiali da parte dei produttori dei sistemi colpiti. Nello specifico, il Team di Trend Micro Research a fronte delle ultime attività riscontrate sulla rete globale, consiglia a tutte le organizzazioni di verificare costantemente eventuali flussi di rete insoliti e di mantenere i sistemi aggiornati alle ultime release e patch. Spesso le attività fraudolenti trovano spazio attraverso lo sfruttamento di vulnerabilità non più recenti ma fatali per applicazioni e infrastrutture critiche”.

Le comunicazioni rilasciate da OVHcloud

Il cloud provider europeo ha messo a disposizione degli utenti informazioni aggiornato puntualmente. “Un’ondata di attacchi sta attualmente prendendo di mira i server ESXi. Nessun servizio gestito da OVHcloud è interessato da questo attacco, tuttavia poiché molti clienti utilizzano questo sistema operativo sui propri server, forniamo questo post come riferimento a supporto per aiutarli nella loro risoluzione.
Questi attacchi vengono rilevati a livello globale. Secondo gli esperti dell’ecosistema e le autorità, il malware utilizza probabilmente CVE-2021-21974 come vettore di compromissione. Le indagini sono ancora in corso per confermare tali ipotesi.

I nostri team tecnici stanno lavorando per identificare le caratteristiche dettagliate dell’attacco mentre si coordinano con i nostri colleghi di altri CERT e team di sicurezza.”

L’ultimo aggiornamento rilasciato da OVHcloud

“È stato confermato che il vettore di compromissione utilizza una vulnerabilità OpenSLP che potrebbe essere CVE-2021-21974 (ancora da confermare). I log in realtà mostrano l’utente dc-ui come coinvolto nel processo di compromissione.

  • La crittografia utilizza una chiave pubblica distribuita dal malware in /tmp/public.pem
     Il processo di crittografia prende di mira specificamente i file delle macchine virtuali (“ .vmdk”, “ .vmx”, “ .vmxf”, “ .vmsd”, “ .vmsn”, “ .vswp”, “ .vmss”, “ .nvram”,”*.vmem”)
     
  • Il malware tenta di arrestare le macchine virtuali interrompendo il processo VMX per sbloccare i file. Questa funzione non funziona sistematicamente come previsto, con il risultato che i file rimangono bloccati.
  • Il malware crea argsfile per archiviare gli argomenti passati al binario di crittografia (numero di MB da ignorare, numero di MB nel blocco di crittografia, dimensione del file)
  •  Non si è verificata alcuna esfiltrazione di dati.

In alcuni casi, la crittografia dei file potrebbe parzialmente fallire, consentendo il recupero dei dati. Enes Sönmez (@enes_dev), un ricercatore di sicurezza turco ha documentato la procedura per il recupero dei file VMDK. La procedura è descritta sul suo blog (https://enes.dev/). Abbiamo testato con successo questa procedura e molti esperti di sicurezza su diversi server interessati. La percentuale di successo è di circa 2/3. Tieni presente che seguire questa procedura richiede forti competenze sugli ambienti ESXi. Usalo a tuo rischio e cerca l’aiuto di esperti per aiutarti.

Il sistema operativo ESXi può essere installato solo su server bare metal. Abbiamo lanciato diverse iniziative per identificare i server vulnerabili, sulla base dei nostri registri di automazione per rilevare l’installazione di ESXI da parte dei nostri clienti.
Abbiamo mezzi di azione limitati poiché non abbiamo accesso logico ai server dei nostri clienti. Per gli host bare metal identificati:
– Abbiamo inviato e-mail il venerdì pomeriggio per avvertire il cliente del rischio e fornire loro informazioni su come mitigare il rischio
– Abbiamo bloccato la porta OpenSLP (427) tra Internet ei server con ESXI installato. Il cliente può disattivare la regola di filtraggio nella propria interfaccia di gestione se per qualsiasi motivo è richiesto l’uso della porta 427.

Abbiamo lanciato la scansione per identificare gli host compromessi, testando la presenza della pagina Web e/o del banner ssh che specifica che l’host è stato compromesso per avvisare i clienti interessati.

Il nostro team di supporto è completamente mobilitato per aiutare i nostri clienti a proteggere i loro sistemi e per aiutarli a recuperare se sono colpiti dall’attacco.”

L’opinione di Fabio Buccigrossi, Country Manager di ESET Italia

“A prima vista questo attacco è simile agli incidenti globali di ransomware del 2017, ma questa volta ha un aspetto peggiore: nel 2017 la vulnerabilità era attiva da poche settimane quando è stata sfruttata da Eternalblue. Questa volta (nei server VMware ESXi) la falla risale a 2 anni fa ed è completamente patchabile. Purtroppo, ciò dimostra che tutte le lezioni del passato non sono servite a molto. Ora si tratta di correre ai ripari. I criminali informatici sono molto rapidi nel prendere di mira le organizzazioni che non stanno al passo. Gli aggiornamenti di sistema su questa scala possono sembrare un compito titanico, nulla però al confronto del potenziale risultato di un attacco malware progettato per sfruttare in modo speciale coloro che hanno ancora una vulnerabilità. Le misure preventive sono spesso la migliore linea d’azione per proteggersi dai tentativi di ransomware effettuati dai cyberattaccanti globali. Misure come il mantenimento delle reti costantemente aggiornate con le ultime patch sono fondamentali per rendere i sistemi sufficientemente sicuri da respingere questi attacchi purtroppo inevitabili. È essenziale che, una volta che le vulnerabilità sono state corrette dai produttori, questi aggiornamenti vengano eseguiti su ogni endpoint per renderli più resistenti“.

La riflessione di Barracuda Networks

Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security di Barracuda Networks. si è così espresso:

“I diffusi attacchi ransomware segnalati contro i sistemi VMware ESXi privi di patch in Europa e nel mondo sembrano aver sfruttato una vulnerabilità per la quale era stata resa disponibile una patch nel 2021. Ciò evidenzia quanto sia importante aggiornare i principali sistemi di infrastruttura software il più rapidamente possibile, sebbene non si tratti di un’operazione facile per le organizzazioni. Nel caso di questa patch, ad esempio, le aziende devono disattivare temporaneamente parti essenziali della loro infrastruttura IT. Tuttavia, è preferibile affrontare questo tipo di inconveniente piuttosto che essere colpiti da un attacco potenzialmente distruttivo.

Fondamentale è proteggere l’infrastruttura virtuale che può rivelarsi un bersaglio interessante per il ransomware, poiché spesso esegue servizi o funzioni business critical. Un attacco riuscito può avere gravi ripercussioni. Ecco perché è particolarmente importante far sì che l’accesso alla console di gestione di un sistema virtuale sia protetto e non possa essere facilmente raggiungibile attraverso, ad esempio, un account compromesso sulla rete aziendale.

Per assicurare una protezione completa, è importante isolare l’infrastruttura virtuale dal resto della rete aziendale, preferibilmente nell’ambito di un approccio Zero Trust. Le organizzazioni che utilizzano ESXi devono assicurarsi immediatamente l’aggiornamento alla versione più recente, se non l’hanno già fatto, ed effettuare una scansione completa della sicurezza dei server per verificare che non siano stati compromessi”.

Il commento di HiSolution

Guido Gelli, Delivery Manager di HiSolution, ha così commentato:

Ricordare per non ripetere gli stessi errori di ieri. Banale e scontato? Purtroppo non sempre: con l’ultimo attacco ransomware ESXiArgs che ha colpito i server VMware ESXi in Italia e nel mondo, si conferma che tra le realtà mondiali persistono ancora delle ‘debolezze’.

La questione era nota, la vulnerabilità era stata già individuata, segnalata e risolta ben due anni fa con una patch di sicurezza che i proprietari di sistemi informatici avrebbero dovuto installare. E chi non ha seguito questa buona regola, oggi si trova ad essere più vulnerabile che mai e a disabilitare il servizio SLP sugli hypervisor ESXi non ancora aggiornati.

Un’efficace prevenzione del ransomware richiede una combinazione di buone applicazioni di monitoraggio, costanti aggiornamenti della propria infrastruttura IT, frequenti backup dei file, l’utilizzo di software anti-malware e l’applicazione di soluzioni Managed Detection and Response. Consapevoli del fatto che, anche se nessuna difesa informatica annullerà completamente il rischio di attacchi, sarà altrettanto possibile limitare l’ingresso degli aggressori nei nostri sistemi”.

Commento di Marco Rottigni, Technical Director per l’Italia di SentinelOne

 La sicurezza inizia dalle fondamenta. Per un’impresa che intende proteggersi in modo adeguato sono necessarie pianificazione, implementazione e strategie di sicurezza. Le organizzazioni che dispongono di processi per la gestione delle password, l’autenticazione a più fattori, la gestione delle patch, gli aggiornamenti del software e la sicurezza dei dispositivi possono impedire agli attaccanti di colpire facilmente e ridurre la superficie d’attacco cui puntare. Quello che è successo negli ultimi due giorni, ovvero gli attacchi e le potenziali compromissioni di una vulnerabilità di alcune piattaforme VMware, è la dimostrazione che le normative di sicurezza non sono, purtroppo, il pensiero principale di molte aziende.

La campagna ha chiaramente preso di mira sistemi non aggiornati da molto tempo, puntando alla superficie vulnerabile di un servizio chiamato Service Location Protocol. Referenziata come CVE-2021-21974 – è nota da ben due anni ed affligge tre piattaforme VMware per la virtualizzazione di sistemi operativi.  In ordine decrescente:

  • ESXi versioni 7.x precedenti a ESXi70U1c-17325551
  • ESXi versioni 6.7.x precedenti a ESXi670-202102401-SG
  • ESXi versioni 6.5.x precedenti a ESXi650-202102101-SG

L’attacco ha coinvolto diversi paesi, partendo dalla Francia – il cui CERT ha notificato l’evento lo scorso venerdì – quindi l’Italia, la Finlandia ed altre nazioni.

Sicuramente la procedura di aggiornamento di piattaforme infrastrutturali per la virtualizzazione non è semplice, rapida e priva di problematiche, ma occorre ricordare che la compromissione è stata subita da almeno una decina di sistemi in tutta Italia. Questo significa che esiste una notevole presenza di sistemi obsoleti e non aggiornati nonostante la gravità e l’urgenza menzionata e che non ci sono stati, nel tempo, controlli compensativi.

Insomma, per tornare al principio: la sicurezza inizia dalle fondamenta. È necessaria una presa di coscienza maggiore nei confronti della prevenzione e della sicurezza, per poter monitorare, rilevare, mitigare e neutralizzare un attacco ben prima che raggiunga il suo obiettivo.

Il punto di vista di Qualys

Qualys richiama l’attenzione sulla minaccia di ransomware segnalata il 3 febbraio scorso alla comunità della cybersecurity dal Computer Emergency Response Team del governo nazionale francese (CERT-FR).

La campagna di attacchi ransomware, che ha già compromesso più di 3.200 server in Canada, Francia, Finlandia, Germania e Stati Uniti, secondo il monitoraggio di Censys, ha come obiettivo le vulnerabilità dei sistemi ESXi e Cloud Foundation di VMware (identificativo CVE-2021-21974), colpendo il servizio Open Service Location Protocol (OpenSLP) dell’hypervisor.

Prendiamo molto sul serio la protezione dei sistemi e dei dati dei nostri clienti. Rinnoviamo l’importanza per le aziende di mantenere i sistemi aggiornati con le ultime patch e gli ultimi aggiornamenti di sicurezza” dichiara Manfredi Blasucci, Security Solutions Architect di Qualys Italia.

I sistemi attualmente presi di mira sono gli hypervisor ESXi della versione 6.x e precedenti alla 6.7. Alla vulnerabilità è stato assegnato un punteggio di gravità elevato da CVSSv3 (8,8) ed è considerata uno dei 25 errori software più pericolosi (CWE Top 25).

Invitiamo vivamente le organizzazioni a isolare il server interessato e a condurre un’analisi per rilevare eventuali segni di compromissione”. Il manager consiglia inoltre di disabilitare i servizi non necessari e di bloccare l’accesso ai servizi di amministrazione attraverso un firewall. L’aggiornamento di un prodotto o di un software deve essere fatto con cautela e si devono adottare misure di test e di continuità del servizio

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche
css.php