Attacco hacker: rilevato lo sfruttamento massivo della CVE-2021–21974 in VMWare ESXi (AL01/230204/CSIRT-ITA)

 
Tratto da www.csirt.gov.it
Autore: Computer Security Incident Response Team – CSIRT – 04/02/2023
 
 
 
logo ACN
 
 

Qui di seguito riportiamo quanto pubblicato dal CSIRT, sul suo sito ufficiale www.csirt.gov.it , in merito al recente attacco hacker.

Il CSIRT Italia è istituito presso l’Agenzia per la cybersicurezza nazionale (ACN) e ha i seguenti compiti:

  • il monitoraggio degli incidenti a livello nazionale;
  • l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;
  • l’intervento in caso di incidente;
  • l’analisi dinamica dei rischi e degli incidenti;
  • la sensibilizzazione situazionale;
  • la partecipazione alla rete dei CSIRT.

Tratto da www.csirt.gov.it:

Sintesi

Rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021 – presente nei prodotti VMware ESXi.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (70,25/100)1.

Descrizione

È stato recentemente rilevato lo sfruttamento massivo, ai fini del rilascio di ransomware, della vulnerabilità CVE-2021–21974 trattata da questo CSIRT nell’alert AL03/210224/CSIRT-ITA. Sulla relativa campagna il Computer Emergency Response Team Francese (CERT-FR) ha pubblicato un security advisory, disponibile nella sezione riferimenti, in cui si evidenziano i relativi dettagli.

Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali.

Qualora sfruttata, tale vulnerabilità, con score CVSS v3 pari a 8.8, di tipo “heap buffer overflow” e relativa alla componente OpenSLP – con riferimento ai prodotti VMware ESXi e Cloud Foundation (ESXi) – potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.

Per eventuali ulteriori approfondimenti si consiglia di consultare il security advisory, disponibile nella sezione Riferimenti.

Prodotti e versioni affette

VMware ESXi 6.5

VMware ESXi 6.7

VMware ESXi 7.0

VMware Cloud Foundation (ESXi) 3.x

VMware Cloud Foundation (ESXi) 4.x

Azioni di Mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Riferimenti

https://www.csirt.gov.it/contenuti/vulnerabilita-su-prodotti-vmware-al03-210224-csirt-ita

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

6 Febbraio 2023