Vulnerabilità VMWare senza patch utilizzata dagli hacker per prendere di mira i server e diffondere ransomware

Un bug software senza patch presente nei server ESXi di VMWare viene sfruttato dagli hacker con l’obiettivo di diffondere il ransomware in tutto il mondo.

I server VMWare senza patch sono oggetto di abusi da parte di hacker

Una vulnerabilità software vecchia di due anni presente nei server ESXi di VMWare è diventata l’obiettivo di una diffusa campagna di hacking. L’obiettivo dell’attacco è distribuire ESXiArgs, una nuova variante del ransomware. Si stima che centinaia di organizzazioni siano state colpite.

Il Computer Emergency Response Team (CERT) francese ha pubblicato una dichiarazione il 3 febbraio, in cui è stata discussa la natura degli attacchi. Nel post del CERT , è stato scritto che le campagne “sembrano aver approfittato dell’esposizione degli hypervisor ESXi che non sono stati aggiornati con patch di sicurezza abbastanza rapidamente”. sfruttamento remoto di codice arbitrario.”

Le organizzazioni sono state invitate a correggere la vulnerabilità dell’hypervisor per evitare di cadere vittima di questa operazione ransomware. Tuttavia, il CERT ha ricordato ai lettori del suddetto comunicato che “l’aggiornamento di un prodotto o di un software è un’operazione delicata che deve essere eseguita con cautela” e che “si consiglia di eseguire test il più possibile”.

Anche VMWare ha parlato della situazione

Insieme a CERT e varie altre entità, anche VMWare ha pubblicato un post su questo attacco globale. In un avviso di VMWare , è stato scritto che la vulnerabilità del server (nota come CVE-2021-21974) potrebbe dare agli attori malintenzionati la possibilità di “attivare il problema di overflow dell’heap nel servizio OpenSLP con conseguente esecuzione di codice in modalità remota”.

VMWare ha anche notato di aver rilasciato una patch per questa vulnerabilità nel febbraio 2021, che può essere utilizzata per interrompere il vettore di attacco degli operatori malintenzionati e quindi evitare di essere presi di mira.

Questo attacco non sembra essere gestito dallo stato

Sebbene le identità degli aggressori in questa campagna non siano ancora note, è stato affermato dall’Agenzia nazionale per la sicurezza informatica (ACN) italiana che al momento non ci sono prove che suggeriscano che l’attacco sia stato effettuato da un’entità statale (come riportato da Reuters ). Diverse organizzazioni italiane sono state colpite da questo attacco, così come organizzazioni in Francia, Stati Uniti, Germania e Canada.

Sono stati forniti suggerimenti su chi potrebbe essere responsabile di questa campagna, prendendo in considerazione software di varie famiglie di ransomware come BlackCat, Agenda e Nokoyawa. Il tempo dirà se le identità degli operatori possono essere scoperte.

Gli attacchi ransomware continuano a rappresentare un grave rischio

Con il passare degli anni, sempre più organizzazioni cadono vittime di attacchi ransomware. Questa modalità di criminalità informatica è diventata incredibilmente popolare tra gli attori malintenzionati, con questo hack globale di VMWare che mostra quanto possano essere diffuse le conseguenze.