Aggiornamenti recenti Ottobre 9th, 2024 5:18 PM
Feb 06, 2023 Dario Orlandi Attacchi, Minacce, News, Ransomware, RSS 0
A partire da venerdì 3 febbraio, una nuova campagna ransomware ha colpito molti server VMware ESXi in tutto il mondo sfruttando le vulnerabilità di sicurezza CVE-2021-21972 e CVE-2021-21974, categorizzate come critiche (con punteggio di 9.8 e 8.8 su 10 nella scala Cvss).
Le vulnerabilità interessano i sistemi ESXi 6.5.x, 6.7.x e 7.x e possono essere sfruttate per creare un overflow nel servizio OpenSLP, che viene poi utilizzato da attori malintenzionati per eseguire codice arbitrario. Il problema è in realtà stato risolto con una patch distribuita da VMware quasi due anni or sono, il 23 febbraio 2021.
Per bloccare gli attacchi gli amministratori possono disabilitare il servizio Service Location Protocol (SLP) sui sistemi vulnerabili, ma la soluzione definitiva è naturalmente quella di aggiornare i sistemi.
Alcune dichiarazioni a caldo provenienti dalla Francia, e in particolare dal provider OVHcloud, hanno in un primo tempo associato gli attacchi al ransomware Nevada, ma le richieste di riscatto pubblicate sembrano provenire da una nuova famiglia di malware, che è stata denominata ESXiArgs.
La campagna ha avuto una vasta eco mediatica in Italia, dove sono stati dipinti scenari piuttosto allarmistici che hanno portato il Governo a convocare nella mattinata del 6 febbraio i vertici dell’Agenzia per la cybersicurezza e del Dipartimento informazione e sicurezza.
Da quanto emerge, l’attacco non sembra particolarmente innovativo e neppure troppo sofisticato: sono però molti i server colpiti a livello mondiale, in particolare in Francia. Una ricerca tramite Censys riporta oltre 3.200 risultati, di cui oltre un terzo si trovano appunto in territorio francese.
Seguono poi gli Stati Uniti, la Germania e il Canada, mentre l’Italia è molto più indietro: sempre stando alla rilevazione Censys, i sistemi coinvolti nel nostro Paese sono 20 contro 1.213 individuati in Francia.
Questa ricerca naturalmente potrebbe non individuare tutti i sistemi coinvolti, ma dalle informazioni disponibili non sembra che l’attacco abbia colpito su vasta scala nel nostro Paese, e neppure che abbia avuto l’Italia come bersaglio principale.
Quello che emerge ancora una volta da questa vicenda, al di là degli aspetti sensazionalistici, è un’attenzione insufficiente alla sicurezza e all’implementazione di buone pratiche; migliaia di sistemi violati sfruttando vulnerabilità note e risolte da quasi due anni indicano che c’è ancora molto lavoro da fare.
Lug 22, 2024 0
Feb 21, 2024 0
Giu 26, 2023 0
Mag 12, 2023 0
Ott 09, 2024 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...