Attacco ai server VMWARE ESXi: cerchiamo di capire cosa succede con un esperto del sistema 

Olivia Terragni : 6 Febbraio 2023 07:30

Autore: Olivia Terragni

Migliaia di server down in tutto il mondo in Francia, Finlandia, Nord America, Canada e Stati Uniti e alcuni in Italia (Csirt-IT). Cosa è successo? Una campagna di attacco ha preso di mira gli hypervisor VMware ESXi con l’obiettivo di distribuire ransomware ESXiArgs. L’attacco secondo TheStack colpisce 20 macchine ogni ora: “i dati di Shodan mostrano che la maggior parte è ospitata da OVHcloud, ma il raggio di azione si sta espandendo rapidamente”.

Ne parla RedHotCyber in “Un massiccio attacco ransomware globale minaccia i server ESXi. Attenzione all’esposizione su internet!”.

Nel radar di oggi abbiamo intanto intervistato un esperto di sistemi VMware, Leonardo Nicolini, consulente di sicurezza informatica.

Il radar in breve: 

• VMware, presa di mira una vulnerabilità nota: la patch è datata 23 febbraio 2021
• VMware attacco ransomware, cosa succede: intervista a Leonardo Nicolini esperto sistemi VMware
• VMware: un nuovo gruppo ransomware?
• Il proliferare di attacchi informatici motivati da motivi geopolitici e exploit zero-day

VMware, presa di mira una vulnerabilità nota: la patch è datata 23 febbraio 2021

Intanto la Francia è il paese più colpito e il Cert-FR ha avvertito che presa di mira è una vulnerabilità di esecuzione di codice remoto vecchia di due anni. L’avviso del Cert-FR è del 3 febbraio 2023: il difetto di sicurezza tracciato come CVE-2021-21974 – allerta il Cert-FR e per la per la quale è disponibile una patch dal 23 febbraio 2021 – è causato da un problema di heap overflow nel servizio OpenSLP (porta 427) che può essere sfruttato da attori di minacce non autenticati in attacchi a bassa complessità. 

Gli attacchi sembrano essere automatizzati e i sistemi interessati sono:

• Versioni di ESXi 7.x precedenti a ESXi70U1c-17325551
• ESXi versioni 6.7.x precedenti a ESXi670-202102401-SG
• ESXi versioni 6.5.x precedenti a ESXi650-202102101-SG

Gli Hypervisor VMware ESXi sono stati già oggetto di attacco: nel settembre del 2022 Mandiant ha rilevato un attore di minacce con sede in Cina che ha utilizzato una nuova tecnica preoccupante per installare più backdoor persistenti sugli hypervisor ESXi affermando che altri attacchi si sarebbero verificati a breve. L’attacco includeva “il mantenimento dell’accesso amministrativo permanente all’hypervisor ESXi; invio di comandi dannosi alla VM guest tramite l’hypervisor, trasferimento file tra l’hypervisor ESXi e le macchine guest, manomissione dei servizi di registrazione, ed esecuzione comandi arbitrari tra guest VM sullo stesso hypervisor”.

VMware ESXi cosa succede: intervista a Leonardo Nicolini esperto sistemi VMware

• Olivia: Ciao Leonardo e grazie per avere accettato questa intervista per RHC. Come giudichi la situazione in corso? 

• Leonardo: E’ preoccupante, non per il fatto che abbiano scoperto un problema, perché  il problema è stato risolto subito – come succede nella maggioranza dei casi. Il problema è invece che attualmente come nella maggior parte dei casi avviene, ci sono macchine/software direttamente poste su Internet senza un firewall davanti, macchine non patchate e senza sistemi di sicurezza tra loro e Internet stesso. Questo avviene per poter offrire un servizio a basso costo.

• Olivia: Una patch della vulnerabilità era presente infatti da due anni, perché i sistemi non sono stati aggiornati?  

• Leonardo: Principalmente per due questioni: la prima è di natura economica, e la seconda è per incoscienza. Molti sistemisti dicono “non attaccheranno me sicuro”, poi c’è questa regola, o vecchia usanza tra tutti, che dice: “se una cosa funziona è meglio non toccarla”.

• Olivia: La patch installata ora potrebbe essere sufficiente o è necessaria un’analisi dei sistemi per una loro eventuale compromissione?  

• Leonardo: No la patch è sufficiente, ma rimane il fatto che le interfacce di gestione di VMware ESXi devono essere protette e non devono essere esposte direttamente su Internet. 

• Olivia: Tu utilizzi questi sistemi? 

• Leonardo: Si sono certificato VCP5 e VCP6. 

• Olivia: Puoi descrivermi quale è il modo in cui una macchina virtuale può essere compromessa ?

• Leonardo: Se parliamo del caso attuale, è ancora presto per dirlo, una volta innescati gli effetti si possono veder anche dopo mesi. 

• Olivia: nel settembre dello scorso anno una nuova tecnica di attacco ha compromesso gli hypervisor VMware ESXi, si ipotizza un attore di minacce con sede in Cina (UNC3886), che avrebbe utilizzato pacchetti di installazione di vSphere “avvelenati” per fornire più backdoor sui sistemi, ma Madiant avrebbe affermato che non c’erano prove che avessero bisogno di sfruttare qualsiasi vulnerabilità nei prodotti VMware per distribuire il malware. Secondo te l’attacco di questi giorni e quello del 2022 sono in qualche modo collegati? Oppure gli attaccanti di oggi in base al rapporto Madiant hanno utilizzato le informazioni a proprio beneficio?  

• Leonardo: Non saprei, questo attacco sfrutta una porta di default aperta, non so se le due cose possono essere collegate. Ovvero: nel caso dell’attacco attuale, non è stata usata una backdoor, ma una porta aperta di default.

• Olivia: il ricercatore di sicurezza turco Habib Karataş   – : |  –  ha avvisato anche che il gruppo hacker ha utilizzato un ‘metodo incontrato per la prima volta’ 🙂  “Una super-intelligenza che pensa di poter essere pagata solo crittografando i file di configurazione invece di crittografare i dischi vmdk in cui sono conservati i dati” :D. Tuttavia questa soluzione per molti non sembra funzionare….inoltre ha suggerito: ”A molte aziende piace complicare il proprio lavoro occupandosi delle procedure piuttosto che cercare di risolvere il problema”. Un tuo parere? 

• Leonardo: Se un sistema viene attaccato anche se si protegge dopo l’attacco ormai è ‘rovinato’: in qualche modo però deve essere sistemato, o ripristinato dai backup protetti, oppure quello che si deve fare è cancellare il file di configurazione criptato e ricrearlo, se ce ne fosse solo uno. C’è però da sperare che non siano siano stati criptati altri file o che non sia rimasto iniettato nell’ ESXi qualcosa di silente, che venga poi attivato successivamente, anche tra qualche mese. Sottolineo però che BleepingComputer afferma – in un articolo aggiornato ad oggi in una situazione ancora in corso –   che non sarebbero criptati solo i file di configurazione, ma tutti i tipi di file delle macchine virtuali. Riguardo alla risoluzione di cui parla il ricercatore Habib Karataş, se la risoluzione del problema tarda ad arrivare può significare che le procedure in questo caso sono sbagliate e non danno importanza alla sicurezza dei sistemi.

• Olivia: Cosa devono fare gli amministratori di rete nell’immediato per mitigare il problema? VMware da soluzioni per affrontare queste situazioni? 

• Leonardo: VMware le soluzioni le ha date nel 2021. Secondariamente è utile prima di tutto mettere in sicurezza il sistema, proteggendo con un firewall l’accesso alla macchina, e poi aggiornare immediatamente i sistemi. 

• Olivia: Quali conseguenze per questo evento?

• Leonardo: L’accesso a tutti i dati viene perso, la macchina virtuale e i dati contenuti “spariscono”, e l’azienda che usava queste macchine è ferma. E’ un danno economico e deve fare scattare il piano di Disaster Recovery, se ne se possiede uno.

• Olivia: Puoi raccontare in poche parole da cosa è composto un piano di Disaster Recovery e perché è importante? 

• Leonardo: è procedura tecnica dettagliata, che contiene le attività da compiere, prima e dopo un evento catastrofico, in modo da poter ripristinare i sistemi in un predeterminato periodo di tempo, con una perdita accettabile di dati. Senza questo piano, il rischio è di una perdita completa dell’attività aziendale.

• Olivia: Questo tipo di attacchi si aggraveranno? 

• Leonardo: Di attacchi ce ne saranno sempre di nuovi  e i servizi vanno sempre messi in sicurezza. Diffidare dei servizi troppo a basso costo. 

VMware: un nuovo gruppo ransomware?

VMware, aveva valutato la gravità di questo problema con un punteggio CVSSv3 di gravità massimo  8,8, il 23 febbraio 2021. Nell’avviso si leggono i vettori di attacco: “un attore malintenzionato che risiede nello stesso segmento di rete di ESXi che ha accesso alla porta 427 potrebbe essere in grado di attivare il problema di overflow dell’heap nel servizio OpenSLP con conseguente esecuzione di codice in modalità remota”. Nelle note invece, veniva consigliato di disabilitare il servizio OpenSLP in ESXi se non utilizzato.

“Si perde l’accesso a tutti i dati, la macchina virtuale e i dati contenuti “spariscono”, e l’azienda che queste macchine è ferma. E’ un danno economico”.

[Leonardo Nicolini]

Sul forum di BleepingComputer intanto dal 3 febbraio sono iniziati a circolare messaggi di aiuto, dove i servizi sembravano interrotti, con i file utilizzati dalle VM aperti e non scrivibili, ed l’ESXI violato. Dalle note di riscatto i ricercatori ipotizzano che si tratti di un nuovo gruppo di ransomware.

Il proliferare di attacchi informatici motivati da motivi geopolitici e exploit zero-day

Weathering the storm – ovvero ‘Resistere alla tempesta” è il Global Incident Response Threat Report 2022 di VMware sull’ondata incessante di attacchi ed incidenti che dobbiamo affrontare oggi in “una tempesta che può sembrare senza fine”. Una situazione che oramai dura da prima della pandemia e continua parallela al conflitto russo-ucraino (periodo che secondo gli intervistati non ha fatto che aumentare a dismisura gli attacchi a +65%, dati 2022, basati su quelli che realmente si possono vedere) tra malware ed exploit zero day da parte di attori nation-state, con il capitale necessario per scoprire vulnerabilità software e backdoor. Non solo: i gruppi stati-nazione e i cartelli del cyber crime stanno unendo le forze per creare nuovi e distruttivi attacchi. Per la maggioranza dei casi, un attacco ha scoperto una vulnerabilità che non sapevano nemmeno di avere.

“Sfortunatamente, la prevenzione al 100% degli zero day è quasi impossibile”.

Tom Kellermann, responsabile della strategia di sicurezza informatica di VMware

Le famiglie di malware distruttivi, come Emotet, che si presume siano state eliminate dai governi occidentali, stanno tornando in linea con i recenti eventi geopolitici. Emotet, insieme a malware come QBOT e XMRING sono stati i malware più diffusi globalmente negli ultimi mesi. A questi si aggiungono i malware come WhisperGate e HermeticWiper, utilizzati per distruggere i sistemi informatici ucraini, rendendoli così inutilizzabili e malware personalizzati che rendono complicata la loro rilevazione, diretti contro paesi a sostegno dell’Ucraina, soprattutto paesi come Stati Uniti e Regno Unito.

“Non c’è attacco significativo che non implichi l’inizio in un punto e lo spostamento in un altro. Sempre più attacchi si verificano all’interno dell’hypervisor e molte organizzazioni semplicemente non hanno le capacità per vederlo”.

Global Incident Response Threat Report 2022 di VMware

Se poi chiudiamo con le campagne multilivello mirate all’estorsione informatica, le potenziali minacce poste dal furto di informazioni e dalla tecnologia deepfake, la situazione non sembra delle migliori: anche se la capacità di difesa aumenta obbligata dalla situazione, i metodi utilizzati dai criminali informatici sono sempre più complessi ed in grado di eludere le difese e contrastare le risposte agli incidenti: restano a volte semplicemente in attesa, nascosti nella rete, per poi fare più danno possibile, o lanciare un attacco ransomware.

Come le geopolitica si evolverà nel cyber? Bisogna studiare pedissequamente le alleanze che si sono formate e che si stanno ancora formando sotto l’aspetto di un camaleonte. Inoltre alle battute di arresto militari potrebbe corrispondere un aumento nell’attività informatica con azioni non solo dirette verso l’Ucraina ma verso tutti i paesi che la stanno sostenendo. Quindi una “cyber war” rimane una possibilità certa e da tenere sotto la giusta considerazione per tutta la durata della guerra. Consideriamo l’ipotesi seguente: se la guerra diventerà sempre più violenta, perché il cyberspazio non dovrebbe farlo? Un’ultima cosa da considerare è quella di non tenere in conto solo la Russia come avversario in rete, nel caso, poiché anche i suoi alleati hanno obiettivi economici, politici e militari. Infine, senza molte acrobazie intellettuali, teniamo conto che non sempre sarà possibile la giusta e legale attribuzione dell’attacco, rilevabile in modo certo – e in molti casi – solo attraverso l’azione diretta della rete di agenti [segreti] delle agenzie di intelligence.

Olivia Terragni
Autore, ex giornalista, laureata in Lettere e Filosofia con indirizzo storico-economico e poi in Architettura, ha poi approfondito i suoi studi in Network Economy e in Informations Economics, conclusi con un Master in Cyber Security e Digital Forensics e un Master in Filosofia e Governance del Digitale. Appassionata di innovazione tecnologica e sistemi complessi e della loro gestione nell’ambito della sicurezza e della loro sostenibilità in contesti internazionali. Criminalista. Velista ottimista.

Lista degli articoli