Vulnerabilità gravissima su VMware scoperta e già sfruttata attivamente: installare la patch subito!


E’ attualmente sfruttata attivamente la vulnerabilit VMware scoperta di recente e individuata con un grado di criticit pari a 9,8 su 10. I ricercatori di sicurezza hanno rilevato almeno un exploit gi pubblico e ci sono stati tentativi riusciti di compromettere i server che eseguono il software vulnerabile. Monitorato come CVE-2021-21985, il bug presente nel tool vCenter Server, uno strumento per la gestione della virtualizzazione nei grandi data center.

VMware aveva avvisato che i sistemi vCenter con configurazioni predefinite presentano un bug che, in determinate circostanze, pu consentire l’esecuzione di codice malevolo se presentano una porta esposta a Internet. Nella giornata di mercoled stato pubblicato un codice proof-of-concept che sfrutta la falla, e un ricercatore rimasto volutamente anonimo ha dichiarato che l’exploit funziona in modo affidabile e non necessario un grande lavoro aggiunto per usare il codice per scopi malevoli: bastano solo cinque richieste da cURL, uno strumento da riga di comando che trasferisce i dati utilizzando HTTP, HTTPS, IMAP e altri protocolli Internet comuni. Secondo altri commenti di ricercatori di sicurezza, in alcuni casi potrebbe essere addirittura sufficiente un clic del mouse aggirando qualsiasi meccanica di autenticazione nella macchina.




Ancor pi importante a nostro avviso che l’exploit stato gi sfruttato attivamente, secondo le parole del ricercatore Kevin Beaumont su Twitter, all’interno di uno dei suoi “honeypot”, ovvero server connessi a internet su cui vengono lasciati girare software obsoleti allo scopo di rilevare eventuali operazioni malevole da parte di terzi. Una volta sfruttato il bug, con gli strumenti opportuni un aggressore in qualsiasi parte del mondo connesso a internet ottiene lo stesso controllo di un amministratore legittimo.

In seguito a ulteriori rilevamenti e tentativi di scansione da parte di presunti attori malevoli la Cybersecurity and Infrastructure Security Administration (CISA) ha rilasciato un avviso su CVE-2021-21985 in cui si legge: “CISA consapevole della probabilit che attori malevoli stiano tentando di sfruttare CVE-2021-21985, una vulnerabilit legata all’esecuzione di codice in modalit remota su VMware vCenter Server e VMware Cloud Foundation. Sebbene le patch siano state rese disponibili il 25 maggio 2021, i sistemi senza patch rimangono un obiettivo attraente e gli aggressori possono sfruttare questa vulnerabilit per prendere il controllo di un sistema non aggiornato”.

Vulnerabilit CVE-2021-21985 su VMware, cosa fare

La notizia positiva chiaramente che una patch esiste gi e pu essere installata in ogni momento. vCenter presente in parti potenzialmente vulnerabili delle reti di grandi organizzazioni, chiaramente pi interessanti dal punto di vista degli attori malevoli e pi esposte. Una volta che un aggressore prende il controllo della macchina, spesso solo questione di tempo perch riesca a inoculare nella rete malware pericolosi o anche ransomware. La soluzione semplicissima: gli amministratori responsabili di sistemi vCenter che non hanno ancora installato le patch per CVE-2021-21985 dovrebbero farlo subito, se possibile, o stabilire un piano di aggiornamento nell’immediato, dal momento che gi a partire da luned probabile che il volume degli attacchi cresca in maniera sensibile.






Source link