Attacco VMware ESXi: cosa è accaduto

Nei primi giorni di febbraio 2023 ha fatto scalpore a livello nazionale ed internazionale il grandissimo attacco hacker che ha colpito i sistemi VMware nella loro variante chiamata ESXi. A partire da venerdì 3 febbraio infatti è iniziata una serie di offensive verso tali sistemi da parte di hacker ancora da identificare che hanno sfruttato due vulnerabilità note: la CVE-2021-21972 e la CVE-2021-21974, che MITRE ha giudicato con punteggi molto elevati di criticità.

I sistemi ESXi interessati sono quelli che rientrano nelle versioni 6.5 (e successive), 6.7 (e successive) e 7.0 (e successive), nelle quali gli hacker hanno potuto inserire arbitrariamente codice malevolo all’interno del servizio VMware chiamato OpenSLP (Service Location Protocol), utile alla ricerca di dispositivi all’interno di una rete locale. Il grandissimo problema di questo attacco massiccio è dovuto ad un particolare di non poco conto, ovvero che la vulnerabilità era stata riscontrata ben due anni fa ed era già disponibile da più o meno lo stesso lasso di tempo la patch di correzione. Una soluzione di ripiego per coloro che sono stati colpiti e non avevano aggiornato i sistemi è stata quella di disattivare OpenSLP per fermare il flusso di attacchi in entrata. Per le modalità di attacco si è pensato al gruppo hacker Nevada, ma gli esperti di cybersecurity dopo aver visto le note di riscatto hanno decretato che si tratta di una nuova famiglia, rinominata ESXiArgs.

Chiaramente ciò che ha fatto scalpore è stata la grandissima quantità di attacchi susseguitisi in poco tempo in vari paesi, principalmente la Francia, dove il provider OVHCloud è risultato anche una delle principali vittime. Per dare la misura delle dimensioni, l’attacco ha riguardato 3.200 server virtuali in tutto il mondo e solo in Francia erano presenti 1.200 di essi. Gli altri paesi particolarmente colpiti sono stati gli Stati Uniti, la Germania ed il Canada ma in quote ovviamente inferiori a quelle del territorio transalpino. Nel nostro paese, dove si è scatenata una vera e propria allerta giornalistica ed un panico particolarmente diffuso che ha portato anche all’indizione di una riunione straordinaria del governo con i vertici dell’Agenzia per la Cybersecurity Nazionale e la Polizia Postale, sono stati invece colpiti solo 20 server virtuali VMware ESXi. Questo è stato possibile probabilmente soltanto perché il bersaglio di tali offensive si trovava altrove e non certo per una maggior virtuosità nella gestione delle macchine, che come spesso vediamo latita.

Questo avvenimento però lascia un grandissimo insegnamento che, auspicabilmente, potrebbe portare ad un ripensamento delle pratiche aziendali di gestione dei sistemi. Questo perché come abbiamo visto tutta questa tempesta è stata collegata ad una delle più note bad practices, la mancanza di una manutenzione di livello dei propri sistemi aziendali. Essi dovrebbero essere trattati come uno degli asset principali mentre spesso vediamo che talune aziende non li considerano tali, disinteressandosi o mettendo in secondo piano azioni di routine come la ricerca di eventuali patch o aggiornamenti. Un sistema non aggiornato e vulnerabile è un rischio enorme per un’azienda, specie in una situazione globale come quella attuale.

 

Fonti: 1, 2