Qui di seguito riportiamo quanto pubblicato dal CSIRT, sul suo sito ufficiale www.csirt.gov.it , in merito al recente attacco hacker.
Il CSIRT Italia è istituito presso l’Agenzia per la cybersicurezza nazionale (ACN) e ha i seguenti compiti:
- il monitoraggio degli incidenti a livello nazionale;
- l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;
- l’intervento in caso di incidente;
- l’analisi dinamica dei rischi e degli incidenti;
- la sensibilizzazione situazionale;
- la partecipazione alla rete dei CSIRT.
Tratto da www.csirt.gov.it:
Sintesi
Rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021 – presente nei prodotti VMware ESXi.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (70,25/100)1.
Descrizione
È stato recentemente rilevato lo sfruttamento massivo, ai fini del rilascio di ransomware, della vulnerabilità CVE-2021–21974 trattata da questo CSIRT nell’alert AL03/210224/CSIRT-ITA. Sulla relativa campagna il Computer Emergency Response Team Francese (CERT-FR) ha pubblicato un security advisory, disponibile nella sezione riferimenti, in cui si evidenziano i relativi dettagli.
Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali.
Qualora sfruttata, tale vulnerabilità, con score CVSS v3 pari a 8.8, di tipo “heap buffer overflow” e relativa alla componente OpenSLP – con riferimento ai prodotti VMware ESXi e Cloud Foundation (ESXi) – potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.
Per eventuali ulteriori approfondimenti si consiglia di consultare il security advisory, disponibile nella sezione Riferimenti.
Prodotti e versioni affette
VMware ESXi 6.5
VMware ESXi 6.7
VMware ESXi 7.0
VMware Cloud Foundation (ESXi) 3.x
VMware Cloud Foundation (ESXi) 4.x
Azioni di Mitigazione
Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
https://www.csirt.gov.it/contenuti/vulnerabilita-su-prodotti-vmware-al03-210224-csirt-ita
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.