Ultimo aggiornamento venerdì 10 febbraio 2023 16:55:49 GMT
La scorsa settimana, diverse organizzazioni hanno emesso avvisi secondo cui una campagna ransomware denominata “ESXiArgs” stava prendendo di mira i server VMware ESXi, presumibilmente sfruttando CVE-2021-21974, una vulnerabilità di overflow dell’heap di quasi due anni. Due anni. Eppure, la ricerca di Rapid7 ha rilevato che un numero significativo di server ESXi rimane probabilmente vulnerabile. Riteniamo, con grande sicurezza, che ci siano almeno 18.581 server ESXi vulnerabili connessi a Internet al momento della stesura di questo documento.
Quel numero di 18.581 si basa sulla telemetria del Project Sonar. Sfruttiamo la firma Recog del certificato TLS per determinare che un determinato server è un server ESXi legittimo. Quindi, dopo aver rimosso i probabili honeypot dai risultati, abbiamo confrontato gli ID build dei server scansionati con un elenco di ID build vulnerabili.
Project Sonar è uno sforzo di ricerca Rapid7 volto a migliorare la sicurezza attraverso l’analisi attiva delle reti pubbliche. Come parte del progetto, conduciamo sondaggi su Internet su più di 70 diversi servizi e protocolli per ottenere informazioni sull’esposizione globale a vulnerabilità comuni.
Abbiamo anche osservato ulteriori incidenti che prendono di mira i server ESXi, non correlati alla campagna ESXiArgs, che probabilmente sfruttano anche CVE-2021-21974. RansomExx2: è stato osservato che un ceppo relativamente nuovo di ransomware scritto in Rust e mirato a Linux sfrutta i server ESXi vulnerabili. Secondo un recente rapporto IBM Security X-Force , il ransomware scritto in Rust ha tassi di rilevamento antivirus inferiori rispetto a quelli scritti in linguaggi più comuni.
Problemi CISA risolti, più o meno
La US Cybersecurity and Infrastructure Security Agency (CISA) mercoledì ha rilasciato un decryptor ransomware per aiutare le vittime a riprendersi dagli attacchi ESXiArgs. Tuttavia, è importante notare che lo script non è una cura per tutti e richiede strumenti aggiuntivi per un ripristino completo. Inoltre, i rapporti suggeriscono che l’autore della minaccia dietro la campagna ha modificato il proprio attacco per mitigare il decryptor.
Lo script funziona consentendo agli utenti di annullare la registrazione delle macchine virtuali che sono state crittografate dal ransomware e di registrarle nuovamente con un nuovo file di configurazione. Tuttavia, è comunque necessario disporre di un backup delle parti crittografate della VM per eseguire un ripristino completo.
Il vantaggio principale dello script decryptor è che consente agli utenti di riportare le macchine virtuali a uno stato funzionante mentre il ripristino dei dati dal backup avviene in background. Ciò è particolarmente utile per gli utenti di strumenti di backup tradizionali senza funzionalità di ripristino di emergenza basate sulla virtualizzazione.
I consigli di Rapid7
Negare l’accesso ai server. A meno che un servizio non debba assolutamente essere su Internet, non esporlo a Internet. Alcune vittime di questi attacchi hanno esposto questi server a Internet aperto, ma avrebbero potuto ricavarne altrettanto valore commerciale limitando l’accesso agli indirizzi IP consentiti. Se stai eseguendo un server ESXi o qualsiasi server, per impostazione predefinita nega l’accesso a quel server tranne che dallo spazio IP attendibile.
Applica patch ai server ESXi vulnerabili. VMware ha rilasciato una patch per CVE-2021-21974 quasi due anni fa. Se disponi di server ESXi senza patch nel tuo ambiente, fai clic su quel collegamento e correggili ora.
Sviluppare e aderire a una strategia di patching. L’applicazione di patch presenta indubbiamente delle sfide. Tuttavia, questo evento illustra perfettamente il motivo per cui è essenziale disporre di una strategia di patching e attenersi ad essa.
Eseguire il backup delle macchine virtuali. Assicurati di disporre di una soluzione di backup, anche per le macchine virtuali. Come notato sopra, lo script decryptor emesso dalla CIA è solo una soluzione parziale. L’unico modo per recuperare completamente dagli attacchi associati a CVE-2021-21974 è tramite backup operativi. Oggi è disponibile un’ampia varietà di soluzioni di backup per proteggere le macchine virtuali.
Articolo di Erick Galinkin
Foto di Taylor Vick su Unsplash
