Attacco hacker con ESXiArgs del 5 febbraio 2023: analisi di una vulnerabilità scoperta (e corretta) nel 2021
A cura di Cristian Fontana, Tech Expert VEM sistemi
La notizia non può esservi sfuggita: da ieri, domenica 5 Febbraio, diversi media nazionali hanno iniziato a pubblicare news rispetto a diversi attacchi di tipo ransomware che sfruttano una vulnerabilità scoperta (e corretta!) due anni fa da VMware.
Dell’accaduto, in realtà, si parla tra gli addetti ai lavori già dal 3 Febbraio poiché, diversi server ESX esposti su internet (si, su internet!) sono stati compromessi in quella data come da documentazione del provider francese OVHcloud (https://blog.ovhcloud.com/ransomware-targeting-vmware-esxi/).
Di seguito alcune importanti info tecniche:
Description:
The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.
Known Attack Vectors:
A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.
Il nome del ransomware attuale è: “ESXiArgs”.
Le vulnerabilità in questione, aventi codici:
- CVE-2021-21972
- CVE-2021-21973
- CVE-2021-21974
sono molto gravi (critiche per la precisione) poiché affliggono un software molto usato e strutturale: VMware ESXi.
Di seguito le versioni potenzialmente affette:
- versions 7.x prior to ESXi70U1c-17325551
- versions 6.7.x prior to ESXi670-202102401-SG
- versions 6.5.x prior to ESXi650-202102101-SG
A livello VMware, per prevenire questi attacchi, occorre disabilitare il servizio Service Location Protocol (SLP) o, preferibilmente, applicare la patch (disponibile dal 23 febbraio 2021).
Anche se speriamo vivamente che una percentuale molto bassa delle aziende Italiane abbia pubblicato su internet la console di gestione dei server Vmware ESX, la preoccupazione principale deriva da potenziali attacchi che hanno i client come intermediario.
Per questo motivo, per quanto riguarda la network security, si confermano le seguenti best practice (che valgono in questa, come in altre situazioni):
1. Non pubblicare mai su internet risorse infrastrutturali ma strutturarsi per raggiugere queste macchine via VPN client /SASE;
2. Tutti i server pubblicati devono essere in una rete dedicata con privilegi di accesso ridotti
3. Avere un firewall (meglio dedicato) per la segmentazione interna, come minimo, tra la zona client e quella server: Internal Segmentation Firewall (ISFW);
4. Limitare l’accesso per il management ai sistemi infrastrutturali ai soli amministratori di rete: Identity-based policy
5. Valutare controlli estesi tramite ispezione TLS del traffico, anche interno, per applicare profili di protezione di tipo IPS (Intrusion Prevention System)
Link utili:
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
