Computer Security Incident Response Team (CSIRT) dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilevato ieri sera un massiccio attacco ransomware contro diversi sistemi informatici in Italia. I cybercriminali hanno sfruttato una vecchia vulnerabilità presente in VMware ESXi, noto hypervisor di tipo 1 per server dell’azienda californiana. Sono stati colpiti diversi paesi nel mondo, tra cui Francia, Stati Uniti e Germania.
Server VMware ESXi: aggiornare subito
L’attacco è stato individuato dal CERT della Francia il 3 febbraio e da alcuni provider, tra cui OVHcloud. La vulnerabilità CVE-2021-21974 è presente nel servizio OpenSLP (Service Location Protocol) di VMware ESXi. Sfruttando un “heap buffer overflow” è possibile eseguire comandi remoti sui server attraverso la porta 427.
VMware ha rilasciato la patch quasi due anni fa, ma ci sono ancora migliaia di server vulnerabili. I prodotti interessati sono VMware ESXi 7.x (precedente a ESXi70U1c-17325551), ESXi 6.7.x (precedente a ESXi670-202102401-SG) e ESXi 6.5.x (precedente a ESXi650-202102101-SG). Il CSIRT ha confermato gli attacchi contro diversi soggetti nazionali, ma non ci sono ulteriori dettagli. Secondo Red Hot Cyber, in Italia sono stati colpiti almeno 20 server VMware ESXi, tra cui quello dell’Università di Napoli.
Il ransomware, denominato ESXiArgs, applica la crittografia RSA ai file con estensioni .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram e .vmem. Non viene sottratto nessun dato. Al termine viene copiato un file HTML con le istruzioni da seguire per pagare il riscatto (circa 2 Bitcoin) entro tre giorni.
Alle ore 9:00 è previsto un incontro a Palazzo Chigi tra Alfredo Mantovano (sottosegretario e autorità delegata per la cybersicurezza), Roberto Baldoni (direttore ACN) e Elisabetta Belloni (direttrice Dipartimento informazione e sicurezza) per effettuare un primo bilancio dei danni causati dagli attacchi.
Aggiornamento (7/02/2023): VMware consiglia di installare le patch e disattivare il servizio OpenSLP.