Vulnerabilità critiche in VMware: attacchi già in corso?

giovedì 10 giugno 2021
Vulnerabilità critiche in VMware: attacchi già in corso?

VMware ha pubblicato, a fine Maggio, un alert urgente che invita i suoi utenti a patchare urgentemente alcune vulnerabilità che impattano i vCenter Server: l’alert rivela l’esistenza delle vulnerabilità contestualmente alla pubblicazione delle patch, nella speranza che i cyber attaccanti non abbiano il tempo di sfruttarle. Ecco perchè l’alert invita caldamente gli utenti a patchare prima possibile le vulnerabilità, collegandole direttamente al rischio ransomware.

vCenter Server è una soluzione di gestione dei server che aiuta gli amministratori IT a gestire macchine virtuali e host virtualizzati negli ambienti aziendali tramite una console centralizzata.

La prima vulnerabilità, la CVE-2021-21985 impatta i vCenter Server 6.5, 6.7 e 7.0: qui è consultabile l’avviso di sicurezza. Questa vulnerabilità può essere sfruttata da remoto da un attaccante non autenticato tramite un attacco piuttosto semplice che non richiede alcuna interazione da parte dell’utente.

“il vSphere Client (HTML5) contiene una vulnerabilità di esecuzione di codice da remoto dovuto alla mancata validazione degli input nel plugin Virtual SAN Health Check, che è abilitato di default nei vCenter Server” spiegano da WMware. “Un attaccante con accesso alla porta 443 può sfruttare questa vulnerabilità per eseguire comandi con privilegi illimitati nel sistema operativo ospitato dal vCenter Server”.

Il problema riguarda chiunque usi vCenter Server, perchè, in uso o meno, Virtual SAN Health Check è abilitato di default.

La seconda vulnerabilità segnalata da VMware è la CVE-2021-21986, di livello medio di rischio: è presente nei plugin Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e VMware Cloud Director Availability ed è collegata ad alcuni problemi nel meccanismo di autenticazione.

Queste vulnerabilità sono già sfruttate per attaccare le aziende?
Alla richiesta di patching urgente di WMware ha fatto eco anche un avviso da parte del CISA (Cybersecurity and Infrastructure Security Agency), che ha invitato tutte le aziende statunitensi e non solo ad installare gli aggiornamenti. Segno che la paura di nuovi attacchi a tappeto contro le aziende sfruttando vulnerabilità conosciute e già patchate c’è ed è alta: ancora sono in corso, ad esempio, attacchi contro enti e aziende che sfruttano le vulnerabilità ProxyLogon dei Server Microsoft Exchange, nonostante queste siano risolte da tempo.

A rinfocolare i timori comunque è il fatto che online si sono già diffusi, in pochissimi giorni, una serie di Proof Of Concept di exploit, vere e proprie “bozze di codice” pensate per attaccare le aziende “passando” da WMware.

Stime di massima parlando i oltre 6000 sistemi vulnerabili.
Già dai primi di Giugno moltissimi ricercatori di sicurezza hanno iniziato a denunciare scansioni di massa in cerca di vCenter Server WMware vulnerabili. La prima a denunciare l’attività di scanning in corso è stata l’azienda di threat intelligent Bad Packets, mentre il motore di ricerca di dispositivi connessi ad Internet Shodan conferma che sono centinaia i server vCenter raggiungibili tramite Internet e vulnerabili.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy