Attacco hacker ai sistemi VMware: solo in Italia tanto clamore per (quasi) nulla [AGGIORNATA]

Nel corso del weekend una campagna ransomware ha colpito i server VMware ESXi in tutto il mondo, in particolare i sistemi hypervisor ESXI nelle versioni 6.x precedenti alla 6.7. L'attacco è possibile per via dello sfruttamento di una vulnerabilità scoperta e ampiamente divulgata due anni fa e per la quale esiste una patch dal 23 febbraio 2021.

L'attacco è stato individuato per primo dal CERT francese il 3 febbraio che raccomanda ovviamente l'aggiornamento tempestivo a tutti i sistemi ancora senza patch, oltre a fornire l'indicazione che per bloccare gli attacchi in corso gli amministratori dei sistemi vulnerabili devono disabilitare il servizio Service Location Protocol sugli hypervisor ESXi che ancora non sono stati aggiornati. Come ulteriore suggerimento è opportuno, per i sistemi ancora senza patch ed ancora apparentemente operativi, cercare eventuali segni di compromissione. 

La vulnerabilità, tracciata con il codice CVE-2021-21974, riguarda nello specifico i seguenti sistemi:

ESXi versioni 7.x precedenti a ESXi70U1c-17325551
ESXi versioni 6.7.x precedenti a ESXi670-202102401-SG
ESXi versioni 6.5.x precedenti a ESXi650-202102101-SG

L'attacco, avvenuto su scala internazionale, ha avuto particolare clamore in Italia in maniera, tutto sommato, abbastanza inspiegabile. Vicende come questa sono "all'ordine del giorno" nel campo degli incidenti di sicurezza e lo sfruttamento, anche a tappeto, di falle note ma non corrette ormai non fa quasi più notizia.

Ovviamente il CSIRT Italiano si è occupato di rilanciare l'avviso diramato dal CERT francese, per lo più come prassi nel momento in cui si solleva una segnalazione di uno sfruttamento di una falla. Anche in questo caso, quindi, "business as usual".

Il clamore mediatico è stato dovuto probabilmente ad una sfortunata coincidenza: nel corso del pomeriggio di domenica, infatti, la rete di TIM (ma con essa anche le reti di altri operatori ADSL) ha accusato diversi problemi con prolungati disservizi, la cui causa risale ad un guasto nella dorsale Seabone. Un fatto, quindi, del tutto non legato allo sfruttamento della vulnerabilità VMware.

In ogni caso il CSIRT ha confermato che lo sfruttamento della vulnerabilità a carico di VMware ESXi ha permesso di colpire diversi soggetti nazionali, per i quali tuttavia non sono ad ora disponibili dettagli ufficiali. Le indiscrezioni parlano di poche decine di sistemi compromessi.

Stando inoltre alle informazioni tecniche attualmente disponibili, il ransomware - che è stato battezzato ESXiArgs, prende di mira nello specifico file .vmxf, .vmx, .vmdk, .vmsd, e .nvram crittografandoli ma non sottraendoli. La richiesta di riscatto è di circa 2 Bitcoin, da corrispondere entro tre giorni. 

Il sottosegretario  e autorità delegata per la cybersicurezza Alfredo Mantovano, il direttore ACN Roberto Baldoni e la direttrice Dipartimento informazione e sicurezza Elisabetta Belloni si sono incontrati questa mattina a Palazzo Chigi per valutare i danni dell'attacco. Non sono ancora disponibili informazioni in merito.

AGGIORNAMENTO 6/2/2023 - Ore 14:26

Palazzo Chigi ha pubblicato una nota per diffondere gli esiti del vertice di stamattina. Le verifiche condotte dall'Agenzia per la Cybersicurezza Nazionale hanno permesso, ad ora, di stabilire che "pur nella gravità dell'accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita" e che "non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile", mentre "è invece probabile l'azione di criminali informatici che richiedono il pagamento di un riscatto".

La nota è disponibile integralmente a questo indirizzo: https://www.governo.it/it/articolo/attacco-informatico-riunione-palazzo-chigi/21715