Un bug software senza patch presente nei server ESXi di VMWare viene sfruttato dagli hacker con l'obiettivo di diffondere il ransomware in tutto il mondo.
I server VMWare senza patch sono oggetto di abusi da parte di hacker
Una vulnerabilità software vecchia di due anni presente nei server ESXi di VMWare è diventata l'obiettivo di una diffusa campagna di hacking. L'obiettivo dell'attacco è distribuire ESXiArgs, una nuova variante del ransomware. Si stima che centinaia di organizzazioni siano state colpite.
Il Computer Emergency Response Team (CERT) francese ha pubblicato una dichiarazione il 3 febbraio, in cui è stata discussa la natura degli attacchi. Nel Posta CERT, è stato scritto che le campagne "sembrano aver approfittato dell'esposizione di ESXi hypervisor che non sono stati aggiornati con patch di sicurezza abbastanza rapidamente." Il CERT ha anche osservato che il bug preso di mira "consente a un utente malintenzionato di eseguire uno sfruttamento del codice arbitrario remoto".
Le organizzazioni sono state invitate a correggere la vulnerabilità dell'hypervisor per evitare di cadere vittima di questa operazione ransomware. Tuttavia, il CERT ha ricordato ai lettori nel suddetto comunicato che "l'aggiornamento di un prodotto o di un software è un'operazione delicata operazione che deve essere eseguita con cautela" e che "si consiglia di eseguire prove quanto più possibile possibile."
Anche VMWare ha parlato della situazione
Insieme a CERT e varie altre entità, anche VMWare ha pubblicato un post su questo attacco globale. In un Consulenza VMWare, è stato scritto che la vulnerabilità del server (nota come CVE-2021-21974) potrebbe dare agli attori malintenzionati la capacità di "attivare il problema di overflow dell'heap nel servizio OpenSLP con conseguente codice remoto esecuzione."
VMWare ha anche notato di aver rilasciato una patch per questa vulnerabilità nel febbraio 2021, che può essere utilizzata per interrompere il vettore di attacco degli operatori malintenzionati e quindi evitare di essere presi di mira.
Questo attacco non sembra essere gestito dallo stato
Sebbene le identità degli aggressori in questa campagna non siano ancora note, è stato affermato dal National Cybersecurity italiano Agency (ACN) che al momento non ci sono prove che suggeriscano che l'attacco sia stato effettuato da qualsiasi entità statale (come riportato da Reuters). Diverse organizzazioni italiane sono state colpite da questo attacco, così come organizzazioni in Francia, Stati Uniti, Germania e Canada.
Sono stati forniti suggerimenti su chi potrebbe essere responsabile di questa campagna, con software di vari famiglie di ransomware come BlackCat, Agenda e Nokoyawa, presi in considerazione. Il tempo dirà se le identità degli operatori possono essere scoperte.
Gli attacchi ransomware continuano a rappresentare un grave rischio
Con il passare degli anni, sempre più organizzazioni cadono vittime di attacchi ransomware. Questa modalità di criminalità informatica è diventata incredibilmente popolare tra gli attori malintenzionati, con questo hack globale di VMWare che mostra quanto possano essere diffuse le conseguenze.
