Attacco al potere…

di Flavio De Septis

Il 4 febbraio scorso il CSIRT Italia ha diramato un bollettino, poi ripreso in un comunicato stampa dell’Agenzia per la Cybersicurezza Nazionale, in merito allo sfruttamento massivo della vulnerabilità CVE-2021–21974 in VMware ESXi (Heap overflow vulnerability).

L'attacco rilevato lo scorso fine settimana in Europa e in Nord America è legato a un unico obiettivo: gli attaccanti erano in cerca di oggetti digitali esposti su internet da colpire tramite la specifica vulnerabilità VMware ESXi,

Attacco informatico, la nota di Palazzo Chigi (5 Febbraio 2023)

“l Governo segue con attenzione, aggiornato dall'Agenzia per la Cybersicurezza Nazionale, ACN, gli sviluppi dell'attacco culminato oggi tramite un ransomware già in circolazione nei server VMware ESXi. Domani mattina alle 9 il sottosegretario Alfredo Mantovano, autorità delegata per la cybersicurezza, incontrerà a Palazzo Chigi il direttore di ACN, Roberto Baldoni, e la direttrice del DIS-Dipartimento informazione e sicurezza, Elisabetta Belloni, per fare un primo bilancio dei danni provocati dagli attacchi e per confermare la promozione della adeguata strategia di protezione, peraltro da tempo già in atto. Nelle settimane passate la necessità di contrastare le vulnerabilità dei sistemi informatici aveva costituito oggetto di una informativa da parte del presidente Giorgia Meloni in sede di Consiglio di ministri, accompagnata dall’invito a uno stretto raccordo fra le strutture istituzionali e ACN.”

Di cosa si tratta e perché è così importante, facciamo qualche precisazione tecnica,

VMware ESXi è una piattaforma di virtualizzazione di server che consente di eseguire più sistemi operativi su un unico server fisico, isolandoli l'uno dall'altro. Questo aumenta l'utilizzo delle risorse hardware e migliora l'affidabilità e la sicurezza del sistema. ESXi è un hypervisor di tipo 1, il che significa che è installato direttamente sul sistema hardware e fornisce un livello di astrazione tra i sistemi operativi ospitati e hardware.

VMware ESXi non include un servizio OpenSLP. OpenSLP (Service Location Protocol) è un protocollo che consente ai client di trovare i servizi in una rete LAN (Local Area Network). Non è un componente standard di VMware ESXi e non è supportato ufficialmente. Tuttavia, se si desidera utilizzare OpenSLP in un ambiente VMware ESXi, è possibile eseguire un sistema operativo compatibile con OpenSLP come un'istanza virtuale sul server ESXi e configurare il servizio OpenSLP in quella istanza.

Come spesso avviene le cosiddette vulnerabilità vengono spesso dichiarate prima e anche in questo caso sia il NIST (National Vulnerability Database) CVE-2021-21974 pubblicato il 02/24/2021 con Base Score: 8.8 e sia la stessa WMware hanno provveduto a dichiarare la potenziale vulnerabilità.

Occorre considerare che dei 1.018 server VMware ESXi esposti su internet, il 78% utilizza una vecchia versione del sistema operativo, quindi con diverse vulnerabilità presenti e non ancora risolte.

E allora dove è il problema? Perché non si è provveduto per tempo ad aggiornare i sistemi ed applicare la cosiddetta "remediation"

Le possibili risposte sono almeno due, la prima è che molti ignorano completamente gli avvisi di vulnerabilità che vengono considerati come un “al lupo al lupo…!  Si tratta di aziende che non hanno una corretta valutazione dell’analisi dei rischi, ma la questione diventa più complicata lì dove si decide di intervenire, si tratta spesso di aggiornare centinai di sistemi e applicazioni di produzione comunicanti tra di loro. Effettuare un aggiornamento in queste condizioni vuol dire innalzare il rischio di blackout non avendo le garanzie di successo. Questo per molte aziende comporta un'assunzione di rischio che spinge a procrastinare l’attività fino a quanto possibile. Inoltre, si deve registrare anche l'esistenza di tutta quella categoria di aziende e realtà che disconosce completamente le problematiche relative alla CyberSecurity.

Ma qual’è il rischio effettivo di questo tipo di vulnerabilità ?

Tale vulnerabilità, con score CVSS v3 pari a 8.8, di tipo “heap buffer overflow” sulla componente OpenSLP, può portare all’esecuzione di un codice arbitrario da remoto: un attaccante che risiede nello stesso segmento di rete di ESXi, infatti, avendo accesso alla porta 427 (porta utilizzata dal servizio SLP) può sfruttare la vulnerabilità del servizio OpenSLP con conseguente esecuzione di un codice remoto. L’attaccante una volta ottenuto l’accesso remoto sul sistema esegue un ransomware e blocca e crypta i file delle macchine virtuali rendendoli inutilizzabili e quindi, di fatto, bloccano tutti i sistemi con relativa richiesta di riscatto in bitcoin.

Ma quali sono i 19 server italiani presi di mira?

Secondo quanto ricostruito da Repubblica “sulla base di informazioni ritenute attendibili”, scrive il giornale, si tratterebbe di server sparsi su e giù per l’Italia. Ecco l’elenco, con città, regione, server e titolare (dove non indicato il titolare è perché risulta sconosciuto):

  • Basiano – Lombardia – Irideos Spa – KPNQwest Italia S.p.a.
  • Pescara – Abruzzo – Netsons s.r.l. – Netsons s.r.l.
  • Pozzuoli – Campania – Vodafone
  • Rende – Calabria – INTERBUSINESS
  • Lagonegro – Basilicata – Fastweb Networks
  • Milano – Lombardi – Seflow S.N.C. Di Marco Bramé &C. – Seflow
  • Mazara del Vallo – Sicilia – Speed-net S.R.L – Speednetsrl
  • Milano – Lombardia – SoftLayer – SoftLayer Technologies, Inc
  • Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l.
  • Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
  • Roma – Lazio – INTERBUSINESS – Sistemi Avanzati srl
  • Arezzo – Toscana – Aruba S.p.A. – Aruba S.p.A.
  • Pomigliano d’Arco – Campania – THREEMINDS
  • Daverio – Lombardia – 11-xDSL-CUST STATIC Aruba S.p.A. Network – InternetONE SRL
  • Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
  • Selci – Lazio – StiAdsl srl – StiAdsl
  • Verona – Veneto – DIGISAT Main.

(Elenco provvisorio e destinato ad aumentare nel tempo)

Come mitigare l’attacco ransomware a VMware ESXi

Per risolvere il problema gli amministratori di sistema devono provvedere ad applicare la cosiddetta patch, ossia una procedura informatica atta a sostituire parti del sistema e il codice con lo scopo di garantire la sicurezza del sistema e fermare eventuali attacchi esterni.

Cosa fare allora per

Una buona pratica è quella di tenere aggiornati i sistemi ed effettuare spesso accessi per monitorare sia il traffico di rete anomalo sia eventuali picchi di utilizzo del processore, mentre per sistemi più complessi si suggerisce l’utilizzo combinando della gestione delle informazioni di sicurezza (SIM), la gestione degli eventi di sicurezza (SEM), la gestione delle informazioni e degli eventi di sicurezza (SIEM) definendo un monitoraggio in tempo reale nonché  altre soluzione come lo Smart Metering, Machine Learning e Next Generation SOC, è indispensabile adeguare i sistemi di difesa interni per evitare attacchi estesi e generalizzati, dotando il Paese di strumenti efficaci e adeguati e di infrastrutture sicure e resilienti in grado di prevenire qualsiasi assalto e soprattutto di professionisti, formati, competenti e reattivi, il cui numero purtroppo in Italia e' ancora troppo basso.

Questi episodi dimostrano che bisogna sviluppare una maggiore coscienza sia politica che civile e di impresa sulla cybersecurity ed attivare sempre più velocemente i meccanismi di protezione: un fatto non più rimandabile!

Cosa vuole fare il Governo

A fronte del cyberattacco, il Governo, dando seguito a quanto previsto dal DL n. 82/2021, adotterà tempestivamente un DPCM per raccordare il fondamentale lavoro di prevenzione delle Regioni con ACN.

Nel contempo la stessa Agenzia istituzionalizzerà un tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai Ministeri e dagli istituti di credito e assicurativi.

Il lavoro che ACN e Polizia postale stanno svolgendo in queste ore è anche quello di identificare tutti i soggetti potenzialmente vulnerabili, in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma pure per la popolazione (si pensi alle ricadute relative al blocco del sistema di una ASL). 

Per il futuro

Pertanto è di fondamentale importanza che tutte le realtà coinvolte intensifichino tutte le misure di prevenzione possibili, ponendosi immediatamente in relazione con ACN, se non vi hanno già provveduto.

08-02-2023
Autore: Flavio De Septis
PM CyberSecurity Manager
share with Whatsapp
powered by social2s
meridianoitalia.tv

Questo sito utilizza cookie tecnici, google analytics e di terze parti. Proseguendo nella navigazione accetti l’utilizzo dei cookie. Se rifiuterai, nel tuo pieno diritto secondo la norma GDRP, la tua navigazione continuerà all'esterno del sito, Buon Navigazione Meridianoitalia.tv

Ok Rifiuta