Attacco ransomware su Vmware ESXi, la patch c'è

Allerta per un nuovo attacco ransomware globale, che sta prendendo di mira i sistemi basati su Vmware ESXi, un programma hypervisor per la virtualizzazione ampiamente diffuso. L’allarme è scattato anche in Italia: L'Agenzia Nazionale per la Cybersicurezza Nazionale (Acn) ha segnalato che è in corso una campagna di sfruttamento massivo di una vulnerabilità di Vmware ESXi, corrispondente alla sigla CVE-2021–21974.

A detta dell’Acn, l’assalto ransomware ha un alto impatto sulle aziende e organizzazioni italiane, stimato intorno a 70 su 100 (livello arancione). Il livello di gravità della vulnerabilità è invece 8,8 su 10. I software affetti dal problema sono Vmware ESXi versione 6.5, 6.7 e 7.0 e Vmware Cloud Foundation (ESXi) 3.x e 4.x.

La falla riguarda la componente OpenSLP di VMware ESXi e Cloud Foundation (ESXi) e corrisponde a un problema di tipo “heap buffer overflow” che potrebbe consentire l’esecuzione di comandi arbitrari da remoto sui dispositivi attaccati. Dunque, anche l’installazione di un ransomware.

L’allerta è stata diffusa inizialmente dal Computer Emergency Response Team francese, e a seguire dalle agenzie di cybersicurezza di Finlandia, Stati Uniti e Canada. A detta dei vendor di sicurezza informatica attacchi basati sull’exploit di questa vulnerabilità stanno avvenendo in tutto il mondo. Addirittura, Check Point Research sottolinea che si tratta del “cyberattacco più esteso mai segnalato a macchine non Windows”, come spiegato da Pierluigi Torriani, security engineering manager della società di sicurezza informatica.

“L’attacco informatico all’infrastruttura italiana è ben diverso dagli attacchi che normalmente ci racconta la cronaca quotidiana, con danni e data breach rivolti a organizzazioni private”, ha sottolineato Torriani. “Questo attacco ransomware ha un impatto potenziale che potrebbe riversarsi sull’intera cittadinanza, producendo disagi a livello nazionale, o addirittura globale”.

Il paradosso di tutto ciò è che Vmware aveva diffuso un correttivo per la vulnerabilità CVE-2021–21974 già nel 2021. Dunque emerge ancora una volta il problema dei mancati aggiornamenti software, noto punto debole della sicurezza informatica nelle aziende e organizzazioni di tutto il mondo. Per verificare di aver installato la patch o per provvedere a farlo è possibile consultare questa pagina Web di Vmware.

“A prima vista questo attacco è simile agli incidenti globali di ransomware del 2017, ma questa volta ha un aspetto peggiore: nel 2017 la vulnerabilità era attiva da poche settimane quando è stata sfruttata da Eternalblue”, ha commentato Fabio Buccigrossi, country manager di Eset Italia. “Questa volta la falla risale a due anni fa ed è completamente patchabile. Purtroppo, ciò dimostra che tutte le lezioni del passato non sono servite a molto. Ora si tratta di correre ai ripari”.

Sull’importanza degli aggiornamenti software si è espressa un’azienda azienda di sicurezza informatica, cioè Barracuda Networks. “I diffusi attacchi ransomware segnalati contro i sistemi Vmware ESXi privi di patch in Europa e nel mondo sembrano aver sfruttato una vulnerabilità per la quale era stata resa disponibile una patch nel 2021”, ha dichiarato Stefan van der Wal, consulting solutions engineer, Emea, application security di Barracuda. “Ciò evidenzia quanto sia importante aggiornare i principali sistemi di infrastruttura software il più rapidamente possibile, sebbene non si tratti di un’operazione facile per le organizzazioni. Nel caso di questa patch, ad esempio, le aziende devono disattivare temporaneamente parti essenziali della loro infrastruttura IT. Tuttavia, è preferibile affrontare questo tipo di inconveniente piuttosto che essere colpiti da un attacco potenzialmente distruttivo”. Barracuda sottolinea che per assicurare una protezione completa, è importante isolare l'infrastruttura virtuale dal resto della rete aziendale, preferibilmente nell'ambito di un approccio Zero Trust.

Va detto anche che tra gli addetti ai lavori si sono levate voci di rassicurazione. “Il presunto attacco ransomware scatenato in mezza Europa nei giorni scorsi ha trovato la risposta puntuale ed efficace della quasi totalità delle grandi aziende che gestiscono i servizi strategici in Italia”, ha dichiarato Alessandro Manfredini, presidente di Aipsa, Associazione Italiana dei Professionisti della Security Aziendale. “Dalle informazioni note, a partire dalle grandi aziende nazionali, i cui manager si sono subito confrontati per valutare eventuali effetti, nessun sistema è stato irrimediabilmente compromesso e, anche dove sono state individuate falle, la risposta è stata immediata. Il clamore mediatico suscitato da questa vicenda è dunque assolutamente eccessivo. Occorre affrontare con serietà il tema della cybersecurity, e noi lo stiamo facendo da anni collaborando con l’Agenzia per la cybersicurezza nazionale, ma gli allarmismi sono fuori luogo. Non ci troviamo nel mezzo di una situazione emergenziale eccezionale, una guerra cibernetica, come ho letto”.