VMware ha distribuito aggiornamenti urgenti che risolvono un totale di dieci vulnerabilità di sicurezza in diversi prodotti e che potrebbero essere sfruttate da aggressori non autenticati per eseguire azioni dannose nelle infrastrutture IT compromesse.La patch più importante riguarda un bug critico nell’authentication bypass security.
“Le vulnerabilità critiche in sistemi di virtualizzazione, come la falla CVE-2022-31656”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “rappresentano una seria minaccia per le numerose aziende che fondano la propria infrastruttura IT su sistemi VMware”.
La vulnerabilità, in particolare, impatta sugli utenti di local domani in molteplici prodotti. Ecco tutti i dettagli e le possibili soluzioni di mitigazione del rischio.
Indice degli argomenti
Le vulnerabilità critiche nei sistemi di virtualizzazione
Petrus Viet di VNG Security ha scoperto la falla CVE-2022-31656 che impatta VMware Workspace ONE Access, Identity Manager e vRealize Automation.
“Molteplici categorie di attori malevoli”, continua Paganini, “sono alla continua ricerca di exploit per questa famiglia di vulnerabilità che possono consentire loro di accedere alle infrastrutture delle vittime e comprometterle”.
“In particolare, nell’ultimo anno abbiamo osservato un numero crescente di gang ransomware, e dei loro affiliati, sfruttare falle in sistemi VMware per accedere alle infrastrutture delle enterprise e cifrarne i loro sistemi causando danni severi alle loro operazioni”, conclude Paganini.
Si teme che le falle siano sfruttate per sferrare attacchi Distributed Denial-of-Service (DDoS).
Il rischio DDoS
Scaricare e installare le patch urgenti è necessario per scongiurare attacchi Distributed Denial-of-Service (DDoS). “Sebbene gli attacchi DDoS possano causare danni reali”, spiega Sam Curry, Chief Security Officer di Cybereason, “vengono spesso descritti come “poor man’s attack” poiché possono essere organizzati in tempi relativamente brevi, specialmente quando si sfrutta una botnet esistente o un DDoS-as-a-Service”.
“Non sorprende affatto, ad esempio, che negli ultimi giorni siano emersi attacchi DDoS contro il governo taiwanese: queste attività malevoli, infatti, rappresentano sia uno strumento rapido per ottenere risultati velocemente, sia un ingrediente normale per accompagnare attacchi più seri e organizzati”, continua Sam Curry.
Inoltre, sottolinea ancora Curry, “gli attacchi DDoS sono ancora uno strumento efficace nell’arsenale informatico di uno Stato perché portano a termine il lavoro. Un attacco DDoS normalmente non causerà molti danni, ma attaccare un governo garantisce i titoli dei media e l’attenzione delle persone e, quindi, dei poteri che sono coinvolti nel ‘gioco’ delle nazioni”.
“Le organizzazioni del settore pubblico e privato”, conclude Sam Curry, “possono contrastare gli attacchi DDoS preparandosi in anticipo: garantendo la ridondanza della connettività di rete e disponendo di strategie di mitigazione. Non bisogna limitarsi a prepararsi per attacchi volumetrici (ci sono più tipi di DDoS), occorre esercitarsi in tempo di pace e prepararsi alle contingenze. Gli attacchi DDoS possono essere risolti e ci sono molti vendor che possono aiutare anche contro i più grandi e complessi attacchi, ma è molto meglio essere preparati e mitigare in tempo quasi reale o pochi minuti che non in giorni”.
Caso VMware: come proteggersi dalle vulnerabilità critiche
“Oggi non c’è modo di sapere se le varie vulnerabilità di VMWare avranno un impatto duraturo”, spiega Sam Curry, Chief Security Officer di Cybereason: “Gli attaccanti troveranno il modo di sfruttarle? Nel frattempo, occorre implementare le patch disponibili e verificare regolarmente in futuro tutti i sistemi. In generale, serve concentrarsi sulle basi. Se si riescono a implementare immediatamente le patch, si può verificare se l’azienda è vulnerabile. Quindi, occorre poi aggiornare tutti i sistemi cercando in modo proattivo indicatori di comportamento che rivelino attività malevole potenziali o in corso. Ancora più importante, occorre rimanere vigili perché gli attaccanti sono in agguato ed essere pazienti perché c’è la possibilità che attacchi più mirati si verifichino nelle settimane e nei mesi a venire. Gli exploit riusciti garantiscono all’attaccante il controllo del sistema interessato, ma gli attaccanti intelligenti non agiranno subito. Molti degli attacchi possono semplicemente creare backdoor e mantenere silenziosamente la persistenza sui sistemi compromessi per attacchi futuri”.
Per mitigare il rischio, dunque, occorre scaricare e installare le patch il prima possibile, per evitare attacchi.
Tuttavia nel caso in cui non fosse possibile installare le patch per sanare le vulnerabilità critiche nei sistemi di virtualizzazione, sarebbe opportuno sbarrare l’accesso ai sistemi da rete internet tramite configurazione dell’ambiente stesso di virtualizzazione.
Mediante regole sui dispositivi di monitoraggio, bisogna inoltre controllare che non si effettui il login attraverso gli utenti soggetti a tale vulnerabilità.
Infine, è necessario limitare le grant di amministrazione per i soli utenti necessari e non permettere ad altri utenti di poter modificare i propri privilegi localmente.
