Attacco hacker verso hypervisor ESXi VMware
Da qualche giorno è in corso un attacco hacker rivolto verso gli hypervisor ESXi di VMware.
Il CERT-FR, centro istituzionale francese di vigilanza e risposta agli attacchi informatici, aveva diramato un bollettino di ALLERTA il 03.02.2023 alle ore 19 intitolato “Campagna che sfrutta una vulnerabilità che colpisce VMware ESXi“.
Con questo bollettino viene evidenziato un attacco hacker diretto verso hypervisor VMware sfruttando le vulnerabilità CVE-2021-21972 e CVE-2021-21974. Tali vulnerabilità permettono ad “un utente APPARTENENTE ALLA STESSA RETE DEL SERVER ESXi di eseguire codice malevolo“.
Il CSIRT (l’analogo italiano del CERT francese e cioè l’agenzia italiana per la cybersicurezza nazionale) ha diramato a sua volta in data 04.02.2023 alle ore 22:23 (e quindi a distanza di più di 24 ore dalla pubblicazione del bollettino francese) un bollettino dall’identico contenuto.
Il NIST/NVD (National Vulnerability Database) aveva catalogato le vulnerabilità il 04.01.2021, assegnando alla CVE-2021-21972 un livello di rischio di 9.8/10 ed alla CVE-2021-21974 un livello di rischio di 8.8/10.
Questo vuol dire che gli hacker stanno sfruttando due falle ad altissimo impatto ma conosciute da più di 2 anni !!!
Le vulnerabilità in questione riguardano i seguenti prodotti:
- VMware ESXi 6.5 (precedenti alla patch ESXi650-202102101-SG rilasciata il 04.01.2021)
- VMware ESXi 6.7 (precedenti a ESXi670-202102401-SG, rilasciata il 21.04.2021)
- VMware ESXi 7.0 (precedente a ESXi70U1c-17325551, rilascaita il 12.07.2021)
Occorre sottolineare come VMware avesse già catalogato le vulnerabilità come critiche assegnandole un livello di 9.8/10 e rilasciato le patch il 23.02.2021, e cioè a distanza di 1 mese circa dalla scoperta della vulnerabilità.
Sugli hypervisor, liberamente accessibili da internet, gli “hacker” hanno installato un cryptolocker, dando la possibilità agli amministratori del server di sbloccarlo pagando un riscatto di 2 bitcoin (al cambio attuale circa 40.000 euro). Tra i siti più colpiti, sembra esservi OVHCloud, un internet provider molto diffuso in Europa.
Se facciamo un riepilogo dei punti precedenti, questo vuol dire che:
- i sistemi colpiti non sono stati aggiornati da più di 2 anni; quindi probabilmente sono stati installalati, configurati ed abbandonati;
- i sistemi colpiti sono liberamente accessibili da internet.
Dunque, non solo questi hypervisor erano accessibili su internet, ma inoltre non erano dotati delle relative patch di sicurezza e non erano protetti da nessun tipo di protezione (firewall questo sconosciuto?).
Quindi mi chiedo: ma la colpa, è veramente degli hacker? O vogliamo cominciare una volta per tutte ad assegnare le responsabilità a chi di dovere? I veri criminali sono gli hacker che sfruttano vulnerabilità vecchie di 2 anni oppure cominciamo a dare le colpe a chi non si è occupato di proteggere i propri sistemi da sempre?
Vedremo anche quante denunce, in base all’art. 33 e art. 34 del Regolamento UE 2016/679 (o art. 26 e art. 27 del D.Lgs. 51/2018) noto come GDPR, arriveranno al Garante della Privacy dalle violazioni accertate nella sola Italia. Vogliamo fare una scommessa? 😎
Nel frattempo, vi invito a leggere questo articolo; magari risponderà alla domanda “Tanto gli hacker non colpiranno mai me, non hanno nulla da guadagnare”.