Ieri, su molteplici testate on-line, è stata evidenziata la notizia di una rilevante campagna malevola, portata verso infrastrutture IT di virtualizzazione.
Si tratta di attacchi portati a sistemi di virtualizzazione VMware, affetti da una vulnerabilità (CVE-2021–21974), risolta dal vendor a febbraio 2021.
Le prime evidenze degli attacchi si sono avute in Francia; il CERT francese ha allertato in data 3 febbraio.
Il nostro CSIRT ha riportato la notizia della vulnerabilità in data 4 febbraio.
Evidentemente i sysadmin, che non conoscono le vulnerabilità che affliggono i loro sistemi, che non si sono curati di aggiornare una infrastruttura critica da 24 mesi, non leggono neanche i vari bollettini di alert disponibili pubblicamente.
L’attacco ha come obiettivo principale i server ESXi con versione precedente alla 7.0 U3i, apparentemente attraverso la porta 427 del servizio OpenSLP (che tra le altre cose, era anche possibile disabilitare in via temporanea, nelle more di aggiornare il sistema).
Nei sistemi compromessi, sembra che siano stati cifrati solo i files di configurazione delle VM presenti, ma non i VMDK (il file virtual HDD) e chiesto un riscatto di 2 Bitcoin; attualmente, l’indirizzo del wallet sul quale è stato richiesto il riscatto è a 0.
Un altro errore devastante è quello di esporre il pannello amministrativo ed i relativi servizi direttamente in internet.
Dai dati sinora raccolti, sono stati compromessi oltre 2000 server; in Italia si stimano una ventina di sistemi exploitati, su circa un centinaio di quelli affetti dalla vulnerabilità.
Quanto accaduto è gravissimo per più motivi:
- la vulnerabilità era nota (e risolta) da 2 anni;
- qualora non fosse stato possibile aggiornare (non lo crediamo) era possibile disabilitare il servizio vulnerabile;
- sarebbe stato possibile segregare il pannello amministrativo e le porte di servizio tramite regole sul firewall (esisteva un firewall frapposto?);
- la piattaforma vulnerabile consente di essere usata per caricare varie VM, da usarsi eventualmente per scopi illeciti; e condurre ulteriori attacchi, specialmente all’interno dello stesso data center ospitante;
- le VM presenti nella macchina compromessa possono essere esfiltrate, con la conseguenza che le informazioni da esse contenute, anche eventualmente cifrate, sono assolutamente a rischio.
Ancora una volta ci scontriamo con la dura realtà: una clamorosa mancanza di consapevolezza della importanza della sicurezza informatica.
Unitamente ad un livello insufficiente di preparazione e competenze dei soggetti responsabili delle infrastrutture informative.
Quindi ben vengano i vertici di cybersecurity a Palazzo Chigi; adesso serve quanto prima una seria normativa, prima che accada l’irreparabile; questo deve essere chiaro alla nostra politica.
Inoltre deve essere vietato il pagamento dei riscatti.