Vulnerabilità VMware ESXi: dettagli, versioni interessate, azioni raccomandate

A seguito della notizia datata 4 Febbraio 2023 dell’agenzia della cybersicurezza nazionale in merito allo sfruttamento della vulnerabilità con codice CVE-2021–21974, i media hanno iniziato a ripostare l’informazione legata all’attacco massivo che stava avvenendo contro le infrastrutture nazionali.

Il CERT francese aveva già avvisato mediante un comunicato di questo sfruttamento, proprio perché le infrastrutture di origine francese sono state tra le più colpite secondo Shodan.

Dettaglio della vulnerabilità

Il 22 marzo 2021, è stata annunciata una vulnerabilità critica nella piattaforma VMware vCenter Server. Questa vulnerabilità, identificata come CVE-2021–21974, potrebbe permettere a un attaccante remoto di eseguire codice arbitrario sulla macchina vittima senza autorizzazione.

Versioni VMware ESXi interessate

Le versioni affette sono le seguenti:

• ESXi versioni 7.x precedenti a ESXi70U1c-17325551
• ESXi versioni 6.7.x precedenti a ESXi670-202102401-SG
• ESXi versioni 6.5.x precedenti a ESXi650-202102101-SG

Cos’è VMware vCenter Server

VMware vCenter Server è una piattaforma di gestione centralizzata utilizzata per gestire e monitorare l’infrastruttura virtuale di un’organizzazione, un sistema molto sensibile per la governance del parco server all’interno del quale risiedono sicuramente quelli che gli attaccanti chiamano ‘crown jewels’, i dati più importanti da proteggere.

La vulnerabilità potrebbe consentire a un attaccante remoto di inviare payload che innescherebbero una minaccia informatica. Una volta eseguito il codice arbitrario, l’attaccante potrebbe accedere ai dati sensibili, modificare o distruggere i dati sul sistema, prendere il controllo completo delle macchine virtuali con la possibilità di propagare un ransomware.

Azioni consigliate

Per prevenire qualsiasi impatto, le operazioni (che non sarebbero neanche così difficili da eseguire) possono essere riassunte in due punti:

1. Eseguire patch di VMware ESXi all’ultima versione disponibile che risolve la CVE.
2. Valutare di non esporre l’applicativo alla rete Internet per evitare che in futuro sia esposto a ulteriori vulnerabilità.

In conclusione, la vulnerabilità CVE-2021–21974 è una minaccia significativa per la sicurezza dei sistemi VMware vCenter Server, non meno pericolosa di altre vulnerabilità conosciute & non che possono affliggere i sistemi più comuni.

Axitea offre servizi gestiti di vulnerability assessment che possono tenere monitorati gli asset in maniera continuativa per poter eseguire patch mirate e prevenire questo tipo di attacchi.

Riferimenti:

• articolo del Csirt (Computer Security Incident Response Team – Italia)
• articolo di Bleeping Computer