Server VMWare ESXi sotto attacco: la patch è già disponibile

17 febbraio 2023

L'allarme è stato dato direttamente dall'Agenzia di Cybersicurezza Nazionale (ACN): è stata rilevata una massiva scansione di ricerca di server VMware ESXi vulnerabili alla CVE-2021-21974 tramite Shodan. L'ACN ha contattato direttamente molte aziende italiane, secondo le direttive previste dalla Direttiva NIS, chiedendo di aggiornare la versione di VMware in esecuzione o di limitare la visibilità dei server esposti.

L'attacco conseguente ha infettato, infine, i server di una ventina di aziende ed enti italiani: le vittime si sono viste recapitare una richiesta di riscatto di circa 2 Bitcoin (42.000 euro circa). In Francia i dati sono più alti e i server compromessi sono stati 2100.

Il problema? La CVE-2021-21974: è vecchia di due anni e riporta di nuovo all'attenzione l'importanza del patching dei sistemi.

La vulnerabilità CVE-2021-21974

VMware ha invitato i clienti ad installare li ultimi aggiornamenti di sicurezza e a disabilitare il servizio OpenSLP per mitigare i rischid i una campagna ransomware in corso su serve ESXi vulnerabili esposti su Internet. La nota sottolinea come l'attacco non abbia sfruttato vulnerabilità 0-day, ma una già nota.

La CVE-2021-21974 è una falla di sicurezza di OpenSLP che consente ad un utente non autenticato di ottenere la possibilità di eseguire codice dannoso da remoto tramite un attacco di scarso livello di complessità. E' già stata risolta nel Febbraio 2021. In questa campagna la falla è stata sfruttata per distribuire un nuovo ransowmare, ESXiArgs.

Le versioni affette sono:

VMware ESXi 6.5
VMware ESXi 6.7
VMware ESXi 7.0
VMware Cloud Foundation (ESXi) 3.x
VMware Cloud Foundation (ESXi) 4.x

L'invito è ovviamente ad aggiorna prima possibile le versioni in uso di VMware.

L'importanza del patching e il Patch Management di Seqrite

Una delle peggiori infezioni ransomware della storia, il famigerato WannaCry, si basava su un exploit kit chiamato EternalBlue. Le vulnerabilità alla sua base sono state risolte piuttosto in fretta. Nonostante questo, ad anni dalla pubblicazione delle patch, molti cyber criminali hanno continuato ad armare i propri attacchi con questo Exploit a causa della folta platea di sistemi vulnerabili ancora esposti in Internet. Al di là della gravità delle vulnerabilità il problema è che molto spesso, nonstante i vendor intervengano con le dovute patch, gli utenti non prestano la dovuta attenzione all'aggiornamento dei software e dei sistemi.

Per semplificare il processo di gestione delle patch, abbiamo sviluppato la funzionalità Seqrite Patch Management. Consente centralizzare la gestione delle patch e di verificare le patch mancanti per gli applicativi installati nella rete. Scopri di più.

Ultime news

Per saperne di più

BATLOADER: il distributore di malware. Come funziona?

21 novembre 2023

Gli attori delle minacce informatiche sono sempre più sofisticati: utilizzano catene di attacchi intricate e, sempre più sp...

Per saperne di più

Minacce invisibili in agguato: proteggi la tua PMI dagli attacchi informatici con la giusta strategia di difesa

25 ottobre 2023

La pandemia ha accelerato la trasformazione digitale, rendendo la tecnologia e i dati fondamentali per la maggior parte delle impr...

Per saperne di più

Ransomware Knight: una nuova minaccia arriva in Italia

17 ottobre 2023

Il ransomware è una tipologia di malware che prevede la criptazione dei dati presenti in un sistema. Il proprietario ne perde così...

P.IVA: 05345670482

	Global
	Italy
	Japan
	Poland
	LATAM

	Global
	Italy
	Japan
	Poland
	LATAM

PROTEZIONE ENDPOINT E DATI

SICUREZZA GATEWAY

PROTEZIONE SERVER

17 febbraio 2023Server VMWare ESXi sotto attacco: la patch è già disponibile

La vulnerabilità CVE-2021-21974

L'importanza del patching e il Patch Management di Seqrite

Ultime news

BATLOADER: il distributore di malware. Come funziona?

Minacce invisibili in agguato: proteggi la tua PMI dagli attacchi informatici con la giusta strategia di difesa

Ransomware Knight: una nuova minaccia arriva in Italia

Supporto

Risorse

Chi siamo

17 febbraio 2023
Server VMWare ESXi sotto attacco: la patch è già disponibile