Secondo il BSI - Federal Office for Information Security, migliaia di server che eseguivano la soluzione di virtualizzazione ESXi di VMware sono stati infettati da ransomware e molti sono stati anche crittografati in un diffuso attacco globale.
Il focus regionale degli attacchi ai server VMware ESXi era su Francia, Stati Uniti, Germania e Canada - anche altri paesi sono interessati. Gli autori hanno approfittato di una vulnerabilità nota da tempo nel servizio OpenSLP dell'applicazione, che ha attivato un "overflow dell'heap" e alla fine ha consentito l'esecuzione del codice in remoto. Ora esiste uno strumento per ripristinare i server crittografati con ESXiArgs ransomware a seconda della costellazione di versione e patch di VMware: ESXiArgs-Recover-Tool.
2 anni 8.8 alta vulnerabilità
La vulnerabilità stessa - che è elencata come CVE-2021-21974 e classificata "alta" secondo CVSS con un livello di gravità di 8.8 - esiste una patch del produttore da febbraio 2021. La BSI aveva già segnalato a suo tempo la vulnerabilità critica. Secondo il BSI non sono ancora possibili dichiarazioni concrete sull'impatto e sull'entità dei possibili danni. Il BSI sta analizzando intensamente questo incidente di sicurezza IT ed è in contatto con i suoi partner internazionali.
Le aziende italiane in particolare sono state colpite duramente dall'attacco nel fine settimana. Secondo diversi media, anche Telekom Italia TIM dovrebbe essere interessata dall'attentato. In alcuni casi, le prestazioni di Internet in tutto il paese sarebbero crollate per un breve periodo. Ma altri paesi e molte aziende continuano ad avere problemi. Già nel 2021 c'erano exploit che cercavano il divario nei server ESXi e eseguivano malware.
Già più di 1.900 server ESXi infetti
L'aggiornamento arriva troppo tardi per molti amministratori, poiché i loro server VMware ESXi sono già crittografati dal ransomware. Le aziende che hanno ancora questa vulnerabilità e non sono ancora state scoperte dovrebbero correggere immediatamente i server. Secondo Check Point, più di 1.900 server ESXi sono già stati infettati, con la maggior parte delle vittime che secondo quanto riferito provenivano da OVH e dai fornitori di servizi Hetzner. Anche CERT, l'autorità francese per la sicurezza informatica, ha già emesso un avviso a tutte le società e operatori di server. Le istruzioni di sicurezza per correggere la vulnerabilità e la descrizione dei sistemi vulnerabili sono disponibili presso VMware
Ulteriori informazioni sull'aggiornamento del server su VMware.com