È in corso una campagna di sfruttamento di due vecchie vulnerabilità individuate in VMware NSX Manager e già risolte: sui sistemi non aggiornati, un attaccante potrebbe eseguire codice arbitrario, prendere il controllo dell’infrastruttura di rete sottostante e sottrarre dati riservati.
In particolare, gli attacchi in corso (da dicembre 2022 sarebbero già circa 40.000, come riportato dalla società di sicurezza Wallarm) sfruttano le vulnerabilità critiche classificate come CVE-2021-39144 (con punteggio CVSS di 9,8) e CVE-2022-31678 (con punteggio CVSS di 9,1).
VMware NSX, lo ricordiamo, è una soluzione di virtualizzazione e sicurezza della rete disponibile in VMware vCenter Server.
L’allarme per questa nuova ondata di attacchi è dovuto alla particolare tipologia di clienti delle soluzioni VMware NSX: aziende del settore finanziario, sanitario, retail, e-commerce e agenzie governative che, vista la loro natura, richiedono un elevato livello di sicurezza per la loro infrastruttura di rete.
Indice degli argomenti
I dettagli delle vulnerabilità in VMware NSX
La vulnerabilità di esecuzione di codice remoto CVE-2021-39144 risiede nella libreria open source XStream usata per la serializzazione degli input in VMware Cloud Foundation (NSX-V).
Aggressori non autenticati possono sfruttarla in attacchi di bassa complessità senza alcuna interazione da parte dell’utente, riuscendo a eseguire codice in modalità remota con privilegi di “root” sull’appliance.
VMware aveva già avvertito, lo scorso mese di ottobre 2022, dell’esistenza di un exploit per questa vulnerabilità.
La seconda vulnerabilità, CVE-2022-31678, è di tipo XML External Entity (XXE). Un utente non autenticato può sfruttarla per causare una condizione di Denial of Service o la divulgazione non intenzionale di informazioni.
Come riportato dai ricercatori Wallarm, se combinate insieme le due vulnerabilità potrebbero consentire agli attori della minaccia di condurre attacchi ad alto impatto verso sistemi VMware NSX non aggiornati e compromessi.
Importante aggiornare i propri sistemi
Come si legge nell’advisory di sicurezza pubblicato da Wallarm, lo sfruttamento attivo delle due vulnerabilità è iniziato lo scorso mese di dicembre 2022, quando gli esperti hanno osservato oltre 4.600 attacchi al giorno, scesi poi a circa 500 alla fine di gennaio 2023 ma che comunque evidenziano la natura continua della minaccia.
Numeri che hanno spinto gli analisti ad affermare che l’exploiting delle sue falle di sicurezza “potrebbe essere catastrofico”.
L’avviso di sicurezza ci riporta alla memoria l’allarme lanciato lo scorso mese di febbraio, anche dalla nostra Agenzia per la Cybersicurezza Nazionale (ACN), in merito a una serie di attacchi su scala mondiale che hanno sfruttato vecchie vulnerabilità nei server VMware ESXi colpiti con il ransomware ESXiArgs.
Due eventi che ci ricordano quanto sia importante tenere i propri sistemi sempre aggiornati alle ultime versioni e patchati con gli aggiornamenti disponibili. Ma anche quanto siano fondamentali consapevolezza e “maturità cyber” per proteggere al meglio le proprie infrastrutture di rete e i propri dati.
Soluzioni di sicurezza per chi non può aggiornare
Alle organizzazioni che, per qualche motivo, non dovessero riuscire ad aggiornare i sistemi VMware NSX, gli stessi esperti di Wallarm consigliano, per difendersi dagli attacchi, di adottare i principi di defense-in-depth (letteralmente: difesa in profondità) implementando:
- la segmentazione della rete;
- la distribuzione di firewall e sistemi di rilevamento e prevenzione delle intrusioni;
- l’utilizzo di Web Application e API Protection.
