E’ stata scoperta una vulnerabilità nei sistemi vCenter Server di VMware ed è già sfruttata attivamente, con la possibilità che il volume di attacchi cresca.
E’ attualmente sfruttata attivamente la vulnerabilità VMware scoperta di recente e individuata con un grado di criticità pari a 9,8 su 10.
I ricercatori di sicurezza hanno rilevato almeno un exploit già pubblico e ci sono stati tentativi riusciti di compromettere i server che eseguono il software vulnerabile.
Monitorato come CVE-2021-21985, il bug è presente nel tool vCenter Server, uno strumento per la gestione della virtualizzazione nei grandi data center.
VMware aveva avvisato che i sistemi vCenter con configurazioni predefinite presentano un bug che, in determinate circostanze, può consentire l’esecuzione di codice malevolo se presentano una porta esposta a Internet.
Nella giornata di mercoledì è stato pubblicato un codice proof-of-concept che sfrutta la falla, e un ricercatore rimasto volutamente anonimo ha dichiarato che l’exploit funziona in modo affidabile e non è necessario un grande lavoro aggiunto per usare il codice per scopi malevoli: bastano solo cinque richieste da cURL, uno strumento da riga di comando che trasferisce i dati utilizzando HTTP, HTTPS, IMAP e altri protocolli Internet comuni.
Secondo altri commenti di ricercatori di sicurezza, in alcuni casi potrebbe essere addirittura sufficiente un clic del mouse aggirando qualsiasi meccanica di autenticazione nella macchina.
Ancor più importante è a nostro avviso che l’exploit è stato già sfruttato attivamente, secondo le parole del ricercatore Kevin Beaumont su Twitter, all’interno di uno dei suoi “honeypot”, ovvero server connessi a internet su cui vengono lasciati girare software obsoleti allo scopo di rilevare eventuali operazioni malevole da parte di terzi. Una volta sfruttato il bug, con gli strumenti opportuni un aggressore in qualsiasi parte del mondo connesso a internet ottiene lo stesso controllo di un amministratore legittimo.
In seguito a ulteriori rilevamenti e tentativi di scansione da parte di presunti attori malevoli la Cybersecurity and Infrastructure Security Administration (CISA) ha rilasciato un avviso su CVE-2021-21985 in cui si legge:
“CISA è consapevole della probabilità che attori malevoli stiano tentando di sfruttare CVE-2021-21985, una vulnerabilità legata all’esecuzione di codice in modalità remota su VMware vCenter Server e VMware Cloud Foundation. Sebbene le patch siano state rese disponibili il 25 maggio 2021, i sistemi senza patch rimangono un obiettivo attraente e gli aggressori possono sfruttare questa vulnerabilità per prendere il controllo di un sistema non aggiornato”.
Vulnerabilità CVE-2021-21985 su VMware, cosa fare
La notizia positiva è chiaramente che una patch esiste già e può essere installata in ogni momento.
vCenter è presente in parti potenzialmente vulnerabili delle reti di grandi organizzazioni, chiaramente più interessanti dal punto di vista degli attori malevoli e più esposte. Una volta che un aggressore prende il controllo della macchina, spesso è solo questione di tempo perché riesca a inoculare nella rete malware pericolosi o anche ransomware. La soluzione è semplicissima: gli amministratori responsabili di sistemi vCenter che non hanno ancora installato le patch per CVE-2021-21985 dovrebbero farlo subito, se possibile, o stabilire un piano di aggiornamento nell’immediato, dal momento che già a partire da lunedì è probabile che il volume degli attacchi cresca in maniera sensibile.
Fonte:hwupgrade
