Una vulnerabilità nei server VMware in tutto il mondo viene ora sfruttata da attori malintenzionati per eseguire attacchi ransomware, riporta il sito Web, tra gli altri. Techcrunch.

Digi.no ha segnalato la relativa vulnerabilità (richiede abbonamento) esattamente due anni fa, ma molti server VMware non hanno la patch rilasciata dall’azienda e sono quindi ancora vulnerabili.

Colpisce migliaia di server

I server in questione sono i cosiddetti server VMware ESXi, che vengono utilizzati per eseguire macchine virtuali. Il ransomware mirato al server si chiama ESXiArgs e si ritiene che sia attivo dall’inizio di questo mese.

Si dice che più di 3.200 server in tutto il mondo siano interessati dalla campagna ESXiArgs. Non è chiaro chi ci sia dietro il virus del ricatto.

L’Agenzia nazionale per la gestione delle minacce informatiche, CERT-FR, pubblicato un aggiornamento qualche giorno fa a riguardo sui loro siti web.

– Il 3 febbraio 2023, CERT-FR è venuta a conoscenza di una campagna di attacco contro hypervisor VMware ESXi con l’obiettivo di distribuire ransomware contro di essi. Finora, l’indagine mostra che queste campagne hanno apparentemente beneficiato dell’esposizione degli hypervisor ESXi che non sono stati aggiornati abbastanza rapidamente con le patch di sicurezza, scrive l’agenzia.

Gli hypervisor, noti anche come monitor di macchine virtuali (VMM), sono software, firmware o hardware del computer che creano e gestiscono macchine virtuali.

Critico

Anche l’agenzia italiana La National Cybersecurity Agency (ACN) ha dichiarato durante il fine settimana che diverse migliaia di server VMware sono sotto attacco da parte di ransomware, secondo l’agenzia di stampa. Reuters.

L’agenzia statunitense CISA (Cybersecurity and Infrastructure Security Agency) ha confermato a Techcrunch che sta indagando attivamente La campagna ESXiArgs. L’agenzia lavora con una serie di attori per avere una visione d’insieme dell’entità del danno e contribuisce all’assistenza alle vittime.

Ci sono principalmente due vulnerabilità, con i codici di tracciamento CVE-2020-3992 E CVE-2021-21974, il caso è di ca. Il primo ha un livello di gravità CVSSv3 di 9,8, il che significa che la vulnerabilità è critica e può essere sfruttata tramite l’esecuzione di codice in modalità remota.

CVE-2021-21974, d’altra parte, ha un livello di gravità CVSSv3 di 8,8, anch’esso molto severo. Facilita anche l’esecuzione di codice remoto, secondo la descrizione tecnica. L’agenzia francese CERT-FR scrive che il codice che sfrutta le vulnerabilità (exploit) è disponibile almeno da maggio 2021.

Un portavoce di VMware ha commentato a Techcrunch che la società è a conoscenza dei rapporti sulla campagna ESXiArgs in corso e che le patch che risolvono le vulnerabilità sono state rilasciate il 23 febbraio 2021. Il portavoce incoraggia tutti gli interessati a installare le patch il prima possibile. .