Cybersecurity, ecco perché la falla sui sistemi ESXi è grave ed urgente difendersi

Quando una vulnerabilità diventa nota, gli attaccanti hanno a disposizione veri e propri motori di ricerca specializzati nell’individuazione delle superfici esposte

Le notizie su attacchi e potenziali compromissioni di una vulnerabilità relativa ad alcune piattaforme di virtualizzazione VMware sta rimbalzando altisonante da qualche giorno tra le testate dei media e dei notiziari. Referenziata come CVE-2021-21974 – è nota da ben due anni ed affligge tre piattaforme VMware per la virtualizzazione di sistemi operativi. In ordine crescente:
•ESXi versioni 6.5.x precedenti a ESXi650-202102101-SG
•ESXi versioni 6.7.x precedenti a ESXi670-202102401-SG
•ESXi versioni 7.x precedenti a ESXi70U1c-17325551
L’attacco ha coinvolto diversi paesi; dapprima la Francia – il cui CERT ha notificato l’evento lo scorso venerdì – quindi l’Italia, la Finlandia ed altre nazioni. La campagna ha chiaramente preso di mira sistemi non aggiornati da molto tempo, puntando alla superficie vulnerabile di un servizio chiamato Service Location Protocol. I primi consigli per la mitigazione dell’esposizione ad attacchi hanno infatti suggerito la disabilitazione di questo servizio nei sistemi non ancora aggiornati.
Va detto che procedere all’aggiornamento di piattaforme infrastrutturali per la virtualizzazione non è spesso un’operazione semplice, complici problematiche di compatibilità hardware tra versioni e pianificazioni che richiedono tempo.
Resta il fatto che il clamore che la notizia ha scatenato in Italia è stato certamente molto, molto elevato.

Questo anche a causa di un evento coincidente dal punto di vista temporale – ma non riferito alle stesse cause – che ha colpito domenica la dorsale Seabone di Sparkle, cioè una delle 5 reti Internet più importanti al mondo. L’impatto di una serie di disservizi a macchia di leopardo, combinato con il rilancio della notizia della vulnerabilità ESXi da parte della Agenzia di Cybersicurezza Nazionale, ha creato un effetto tempesta perfetta e reazioni di panico da attacco cyber all’intera nazione.Va chiarito subito che la falla sui sistemi ESXi è grave ed urgente per almeno tre ragioni:-affligge una piattaforma di virtualizzazione, quindi un’infrastruttura normalmente adoperata per costruire serie anche estese di servizi potenzialmente critici-se sfruttata con un exploit, consentirebbe all’attaccante di eseguire codice remoto, ad esempio cifrare archivi e chiedere un riscatto-è apparsa nelle liste di vulnerabilità note due anni fa, classificata dal vendor come critica, quindi degna della massima attenzione ed urgenza nel rimedio.

Quando una vulnerabilità diventa nota, gli attaccanti hanno a disposizione veri e propri motori di ricerca come per esempio Shodan o Zoomeye – specializzati nell’individuazione delle superfici esposte su tutta Internet data una o più vulnerabilità o servizio. Non deve stupire quindi che cybercriminali periodicamente tentino di scardinare tali falle con vere e proprie campagne di attacco su larga scala.Quello che preoccupa è che ci sia stata notizia della compromissione di qualche decina di sistemi in Italia, che significa la presenza di sistemi obsoleti e non aggiornati nonostante la gravità e l’urgenza menzionata! Che significa l’assenza di controlli compensativi implementati, qualora per qualunque ragione l’aggiornamento dei sistemi non fosse stato possibile! Che significa l’incapacità di monitorare, rilevare, mitigare e neutralizzare un attacco ben prima che raggiungesse il suo obiettivo di missione!Fronteggiare il rimedio di una superficie vulnerabile senza alcun contesto per la prioritizzazione è certamente un compito tanto arduo quanto azzerare una montagna con una pala da neve: farlo senza un sistema di difesa efficace che rilevi e mitighi eventuali attacchi mentre i rimedi vengono pianificati è certamente impossibile.