Decine di server/siti italiani e migliaia nel mondo sono KO per colpa di un attacco “hacker” globale tramite ransomware. L’ha segnalato qualche ora fa l’Agenzia per la cybersecurity nazionale, rilanciando un avviso dello Csirt italiano; come già venerdì sera lo Csirt francese, dove l’attacco si è diffuso prima.
Il bersaglio sono server VMWare ESXi, attaccati da ransomware che sfruttano vulnerabilità note e per cui è già disponibile una patch.
Il principale pericolo ad oggi riguarda siti e servizi pubblici o privati che potrebbero rivelarsi indisponibili nelle prossime ore.
Indice degli argomenti
L’attacco in corso a server VMWare: l’impatto
L’Agenzia cyber spiega che “siamo stati in grado di censire diverse decine di sistemi nazionali (italiani, Ndr) verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”.
“A un’analisi risulta che la compromissione mira a mandare offline i server i relativi siti, servizi, chiedendo un riscatto per la riattivazione tramite un codice script di decrittazione”, spiega Dario Fadda, esperto informatico. I criminali danno tre giorni per pagare un riscatto, di due bitcoin, 42.200 euro circa.
“L’impatto degli attacchi potrebbe essere molto serio in quanto questi sistemi di virtualizzazione sono estremamente diffusi ed utilizzati da aziende ed organizzazioni private in ogni settore. Preoccupano infatti potenziali impatti a tutti quei servizi erogati da infrastrutture critiche e che si basano sulla tecnologia colpita. Pensiamo a settori come quello sanitario oppure a quello bancario in cui i sistemi sono molto diffusi”, spiega l’esperto cyber Pierluigi Paganini.
“Ad ora, tra quelli esposti pubblicamente, risultano compromessi circa 640 server lato globale e almeno cinque in Italia, ma questi numeri sono destinati ad aumentare vista la popolarità del software di virtualizzazione”, aggiunge Fadda. Altre analisi portano già a circa 2mila i server compromessi al mondo.
Forse solo lunedì sarà possibile stimare il danno in termini di servizi non disponibili ai cittadini. Potenzialmente anche di PA, banche, asl, ospedali.
Update 6 febbraio: il Governo in una nota ha specificato che non risultano colpiti obiettivi importanti.
“Quelli colpiti sono sistemi utilizzati per realizzare le infrastrutture di virtualizzazione che sono alla base della maggior parte dei sistemi informativi aziendali. La compromissione di queste infrastrutture vuole dire, in pratica, poter passare “sotto” alle protezioni applicative e di sistema di buona parte dei servizi aziendali, accedendo ai dati e fermando i sistemi senza che si possa fare molto per impedirlo. È abbastanza chiaro quindi il motivo dell’allarme“, aggiunge Claudio Telmon, esperto cyber presso P4I.
I dettagli tecnici
“Oltre alla vulnerabilità segnalata da CERT-FR e dal nostro CSIRT, del 2021, ce ne sono diverse altre critiche sempre in VMware ESXi, una popolare piattaforma di virtualizzazione ampiamente utilizzata negli ambienti aziendali, utilizzate in questa campagna malevola. Le vulnerabilità, sono identificate come CVE-2022-31696, CVE-2022-31697 , CVE-2022-31698 e CVE-2022-31699, possono potenzialmente portare all’esecuzione di codice in modalità remota (RCE) sui sistemi interessati, e sono attivamente sfruttate”, dice Fadda.
Per quanto riguarda il malware usato, c’è il dato che “a partire dal 03.02.2023, le versioni di ESXi 6.x sono state esposte al noto ransomware CryptoLocker a causa delle vulnerabilità sopra elencate e i server virtuali sono diventati inutilizzabili”, dice Fadda.
Un’analisi di Bleeping Computer rileva che però si tratterebbe di una famiglia nuova di ransomware. Un primo battesimo l’ha dato l’esperto Michael Gillespie di ID Ransomware: l’ha chiamato ESXiArgs, anche per il nome dell’estensione dei file crittografati (.args).
“Queste vulnerabilità possono consentire a un utente malintenzionato di eseguire codice arbitrario su un host remoto, compromettendo potenzialmente il sistema e portando al furto di dati e ad altre attività dannose. In alcuni casi, l’attaccante può persino ottenere il controllo completo del sistema interessato, con un impatto significativo sulla sicurezza e sulla stabilità dei sistemi interessati”, dice Fadda. Ma al momento sembrerebbe che la crittografia riguardi solo piccoli file e non il file system; il solo impatto sembrerebbe insomma quello della messa offline del server, non l’esflitrazione di dati, almeno per ora, come riporta anche BleepingComputer.
Quando il server viene violato, i seguenti file vengono memorizzati nella cartella /tmp:
- encrypt – L’eseguibile ELF del criptographer.
- encrypt.sh – Uno script di shell che eseguearie operazioni prima di eseguire l’encryptor.
- public.pem – Una chiave RSA pubblica utilizzata per criptare la chiave che cripta un file.
- motd – La nota di riscatto in forma di testo che verrà copiata in /etc/motd in modo da essere visualizzata all’accesso. Il file originale del server sarà copiato in /etc/motd1.
- index.html – La nota di riscatto in formato HTML che sostituirà la pagina iniziale di VMware ESXi. Il file originale del server sarà copiato in index1.html nella stessa cartella.
Per altri dettagli tecnici si rimanda a Bleeping.
Come risolvere e affrontare il problema
Così Fadda: “E’ importante notare che il malware crittografa piccoli file come .vmdk .vmx ma non il file server-flat.vmdk. Nella struttura ESXi, i dati effettivi sono conservati in flat.vmdk, quindi non compromessi da questa campagna. Tuttavia occorre, qualora infettati, eseguire una pratica di ripristino per rendere i file compromessi, nuovamente disponibili, creando un fallback usando flat.vmdk”.
Secondo Fadda, il ripristino sarebbe possibile anche senza script dei criminali, insomma.
A parte questo, c’è l’ovvio consiglio di patchare subito. “Le versioni interessate di VMware ESXi includono 6.7 e 6.5 ed è importante notare che queste vulnerabilità sono state corrette da VMware. Si consiglia vivamente agli utenti di aggiornare i propri sistemi il prima possibile per ridurre il rischio di sfruttamento. Per proteggersi ulteriormente dagli attacchi RCE, è anche importante seguire le best practice per la sicurezza della rete e mantenere tutti i sistemi aggiornati con le patch di sicurezza più recenti”, dice Fadda.
Il Cert francese aggiunge che per bloccare gli attacchi bisogna disabilitare il Service Location Protocol (Slp), vulnerabile, sugli hypervisor ESXi non patchati (“un workaround nei casi in cui non si possa patchare subito”, spiega Telmon); e poi bisogna patchare non appena possibile. Il Cert consiglia anche di fare una scansione dei sistemi lasciati senza patch.
In Francia a essere colpito è, tra l’altro, il noto fornitore di servizi cloud OVH, con ripercussioni sui siti a cui fornisce i servizi.
La gravità di quanto accaduto
L’evento è “grave per due motivi”, dice Luca Bechelli, esperto cyber presso P4I.
- “Primo: il bersaglio è un sistema tra i più utilizzati in assoluto alla base del funzionamento delle infrastrutture (sistema di virtualizzazione VMware). In una organizzazione, se comprometti questa piattaforma, comprometti la maggior parte dei sistemi server”.
- “Il secondo è che si basa su una vulnerabilità nota, e questo acuisce la gravità: le organizzazione avrebbero potuto prepararsi per tempo. Da notare che se questo nkn è accaduto può essere per causa di incompatibilità dell’aggiornamento con le tecnologie utilizzate: in tal caso, le organizzazioni devono scegliere tra il rischio di malfunzionamenti (stile Libero di pochi giorni fa) e il rischio di attacchi”, aggiunge.
Concorda Telmon: “Ancora di più dell’attacco stesso è grave il fatto che, proprio data la loro criticità, ci siano sistemi di questa rilevanza vulnerabili a due anni di distanza dalla pubblicazione della correzione della vulnerabilità. Anche se ci fossero dei vincoli che impediscano l’aggiornamento, e non è certamente la norma, in due anni le aziende vulnerabili avrebbero dovuto mettere in atto delle misure compensative, ad esempio in termini di segregazione a livello di rete, che impedissero questo tipo di attacchi”.
“Ancora una volta, si vede come, a fronte di buone pratiche consolidate, della disponibilità di tempo e di soluzioni per ridurre le vulnerabilità gravi, per molte aziende l’attenzione alla sicurezza dei dati e dei servizi sia ancora troppo, troppo bassa. Si tratta di un problema di gravità paragonabile all’assenza di backup protetti dagli attacchi dei ransomware, problema che non si dovrebbe più vedere da molto tempo e che continua a tornare nelle cronache anno dopo anno”, dice Telmon.
In conclusione, “le recenti vulnerabilità in VMware ESXi evidenziano l’importanza di rimanere vigili e proattivi quando si gestisce la sicurezza di una macchina esposta ad Internet. Adottando le misure necessarie per proteggere i sistemi e i dati, puoi contribuire a garantire la sicurezza e la protezione dell’organizzazione”, dice Fadda.
Update 9 febbraio
A distanza di qualche giorno e anche alla luce del fatto che questo articolo continua a essere letto da molti, è opportuno un aggiornamento. I contenuti restano sostanzialmente validi. E’ emerso nel frattempo che l’attacco per fortuna è rimasto limitato ad alcune decine di server, senza espandersi ulteriormente; a fronte di alcuni esperti che minimizzano l’accaduto, altri (di diverse società cyber) invitano a tenere alta l’attenzione. Continuiamo a monitorare.
Ransomware ESXiArgs: ecco il tool per ripristinare i server VMware ESXi compromessi
