Il 3 febbraio 2023, un’enorme ondata di attacchi ransomware è stata identificata dal CERT-FR dell’Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI).
Secondo le informazioni trasmesse dalla comunità IT, questi attacchi sembrano fare affidamento su CVE-2021-21974 per lanciare il ransomware ESXi.
In questo articolo raccogliamo le informazioni fornite dal mondo della sicurezza informatica e forniamo elementi sul rilevamento e la neutralizzazione di questa minaccia.
Quando è iniziata questa ondata di attacchi ransomware ESXi?
Mercoledì 1° febbraio 2023, una nuova versione del ransomware Nevada è stata rilasciata sul sito RAMP, affermando di prendere di mira i sistemi Windows e VMware ESXi.
Venerdì pomeriggio, 3 febbraio 2023, i principali fornitori di infrastrutture cloud francesi come Scaleway, Ikoula o OVHCloud hanno pubblicato avvisi di attacco ransomware sugli ambienti VMware ESXi.
Il CERT-FR dell’ANSSI ha reagito rapidamente e ha confermato questa ondata di attacchi tramite l’allerta CERTFR-2023-ALE-015.
Come si diffonde questo ransomware ESXi?
Sulla base delle informazioni disponibili, sembra che questo ransomware si stia diffondendo utilizzando la vulnerabilità CVE-2021-21974, rilasciata e patchata nel febbraio 2021.
Come inizia un attacco che sfrutta la CVE-2021-21974?
CVE-2021-21974 attacca il “Service Location Protocol (SLP)“. Questo protocollo viene utilizzato in particolare per la scoperta di servizi condivisi su una rete, come le stampanti. Su ESXi, viene utilizzato per il monitoraggio.
Questa vulnerabilità è abbastanza facile da attaccare in quanto ha exploit pubblici. Packet Storm fornisce quindi un kit di attacco in Python.
per attaccare VMware ESXi 6.7.0 build-14320388 e VMware ESXi 6.7.0 build-16316930.
È sufficiente avere accesso alla porta TCP 427 dell’ESXi per poi lanciare l’attacco.
Quali sistemi sono interessati da CVE-2021-21974 e possono essere attaccati da questo ransomware ESXi?
A condizione che venga utilizzato solo CVE-2021-21974 per distribuire questo attacco ransomware, VMware indica nel suo bollettino VMSA-2021-0002 che i seguenti sistemi sono interessati:
| Prodotto | Versione | Vulnerabilità nelle versioni precedenti a questa |
| VMware ESXi | 7.0 | ESXi70U1c-17325551 |
| VMware ESXi | 6.7 | ESXi670-202102401-SG |
| VMware ESXi | 6.5 | ESXi650-202102101-SG |
Estratto dal bollettino VMSA-2021-0002 che indica i sistemi vulnerabili a CVE-2021-21974.
Come risolvere la CVE-2021-21974 ?
Le autorità e VMware raccomandano di distribuire le patch disponibili, vale a dire:
- Patch di sicurezza VMware ESXi 7.0 Update 1c ESXi70U1c-17325551 (pubblicata il 17 dicembre 2020);
- Patch di sicurezza VMware ESXi 6.7 ESXi670-202102001 (pubblicata il 23 febbraio 2021);
- Patch di sicurezza VMware ESXi 6.5 ESXi650-202102001 (pubblicata il 23 febbraio 2021).
Nel caso l’applicazione della patch non sia possibile, VMware suggerisce di disattivare il servizio SLP dell’ambiente ESXi con l’aiuto della documentazione specifica.
Cyberwatch in generale per proteggersi consiglia di installare le patch disponibili (idealmente le più recenti fornite da VMware per far fronte alle vulnerabilità più recenti), disabilitare qualsiasi servizio non necessario al corretto funzionamento del proprio sistema informatico e configurare la propria rete in modo da nascondere le porte non necessarie a diversi utenti.
Chi c’è dietro questo attacco?
Come succede spesso, rispondere a questa domanda è molto difficile. Se per alcune fonti dietro questo attacco c’era il gruppo Nevada, l’analisi dei messaggi di riscatto sembra indicare che si tratti di un nuovo tipo di ransomware.
Come individuare questa vulnerabilità automaticamente?
Con Cyberwatch Vulnerability Manager potete gestire le vulnerabilità e attribuirgli una priorità in autonomia: la soluzione esegue automaticamente la scansione degli ambienti, anche VMware ESXi, in base alle informazioni fornite dal vendor stesso.
I nostri clienti di Cyberwatch possono individuare gli asset vulnerabili e verificare le infomazioni della specifica vulnerabilità CVE-2021-21974 nella scheda dell’enciclopedia di Cyberwatch.
Articolo originale di Maxime ALAY-EDDINE Fondatore e Presidente di Cyberwatch.
Chiamateci allo 02 86366438, vi illustreremo la soluzione e valuteremo le vostre necessità di sicurezza online.