Vulnerabilità gravissima su VMware scoperta e già sfruttata attivamente: installare la patch subito!

Vulnerabilità gravissima su VMware scoperta e già sfruttata attivamente: installare la patch subito!

Una vulnerabilità nei sistemi vCenter Server è stata scoperta ed è già sfruttata attivamente, con la possibilità che il volume di attacchi cresca già entro lunedì. La patch è già stata rilasciata, ed è da installare nel più breve tempo possibile

di pubblicata il , alle 12:39 nel canale Sicurezza
VMware
 

E' attualmente sfruttata attivamente la vulnerabilità VMware scoperta di recente e individuata con un grado di criticità pari a 9,8 su 10. I ricercatori di sicurezza hanno rilevato almeno un exploit già pubblico e ci sono stati tentativi riusciti di compromettere i server che eseguono il software vulnerabile. Monitorato come CVE-2021-21985, il bug è presente nel tool vCenter Server, uno strumento per la gestione della virtualizzazione nei grandi data center.

VMware aveva avvisato che i sistemi vCenter con configurazioni predefinite presentano un bug che, in determinate circostanze, può consentire l'esecuzione di codice malevolo se presentano una porta esposta a Internet. Nella giornata di mercoledì è stato pubblicato un codice proof-of-concept che sfrutta la falla, e un ricercatore rimasto volutamente anonimo ha dichiarato che l'exploit funziona in modo affidabile e non è necessario un grande lavoro aggiunto per usare il codice per scopi malevoli: bastano solo cinque richieste da cURL, uno strumento da riga di comando che trasferisce i dati utilizzando HTTP, HTTPS, IMAP e altri protocolli Internet comuni. Secondo altri commenti di ricercatori di sicurezza, in alcuni casi potrebbe essere addirittura sufficiente un clic del mouse aggirando qualsiasi meccanica di autenticazione nella macchina.

Ancor più importante è a nostro avviso che l'exploit è stato già sfruttato attivamente, secondo le parole del ricercatore Kevin Beaumont su Twitter, all'interno di uno dei suoi "honeypot", ovvero server connessi a internet su cui vengono lasciati girare software obsoleti allo scopo di rilevare eventuali operazioni malevole da parte di terzi. Una volta sfruttato il bug, con gli strumenti opportuni un aggressore in qualsiasi parte del mondo connesso a internet ottiene lo stesso controllo di un amministratore legittimo.

In seguito a ulteriori rilevamenti e tentativi di scansione da parte di presunti attori malevoli la Cybersecurity and Infrastructure Security Administration (CISA) ha rilasciato un avviso su CVE-2021-21985 in cui si legge: "CISA è consapevole della probabilità che attori malevoli stiano tentando di sfruttare CVE-2021-21985, una vulnerabilità legata all'esecuzione di codice in modalità remota su VMware vCenter Server e VMware Cloud Foundation. Sebbene le patch siano state rese disponibili il 25 maggio 2021, i sistemi senza patch rimangono un obiettivo attraente e gli aggressori possono sfruttare questa vulnerabilità per prendere il controllo di un sistema non aggiornato".

Vulnerabilità CVE-2021-21985 su VMware, cosa fare

La notizia positiva è chiaramente che una patch esiste già e può essere installata in ogni momento. vCenter è presente in parti potenzialmente vulnerabili delle reti di grandi organizzazioni, chiaramente più interessanti dal punto di vista degli attori malevoli e più esposte. Una volta che un aggressore prende il controllo della macchina, spesso è solo questione di tempo perché riesca a inoculare nella rete malware pericolosi o anche ransomware. La soluzione è semplicissima: gli amministratori responsabili di sistemi vCenter che non hanno ancora installato le patch per CVE-2021-21985 dovrebbero farlo subito, se possibile, o stabilire un piano di aggiornamento nell'immediato, dal momento che già a partire da lunedì è probabile che il volume degli attacchi cresca in maniera sensibile.

Seguiteci anche su Instagram per foto e video in anteprima!
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
panic-error05 Giugno 2021, 13:04 #1

Mica tutti i vCenter sono esposti su internet

Ok, vulnerabilità grave, ma fortunatamente sono pochissimi i vCenter esposti ad Internet. Al giorno d’oggi con soluzioni come VPN, macchine Jumpbox ecc. non capisco perché esporre ad internet un vCenter. È vero che le minacce arrivano anche da rete interna ma punto primo stiamo parlando di una esposizione ed un fattore di rischio infinitesimale e punto secondo se si applica un minimo di network segmentation il rischio è ancor più basso.
Bi7hazard05 Giugno 2021, 13:37 #2
VMware vCenter Server? Quindi non c'entra VMware Workstation Player?
giovanni6905 Giugno 2021, 17:47 #3
coschizza05 Giugno 2021, 19:24 #4
Ho già messo la patch la settimana scorsa
Sphix05 Giugno 2021, 19:28 #5
Si vero ..però in caso di movimenti laterali all'interno di una rete il vcenter é comunque vulnerabile xcui ...patch!
gabmac205 Giugno 2021, 22:30 #6
neanche Vmware Workstation è coinvolto?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^