Attacco informatico in corso – Consulenti Associati Campania

IL CSIRT ha diramato un bollettino preoccupante sull’attacco in corso a livello globale.

Dalla mappatura dei miei clienti non ci dovrebbero essere strutture interessate (sono state installate tutte le PATCH). Vi lascio il bollettino del CSIRT con anche le soluzioni e le politiche proattive.

Rilevato lo sfruttamento massivo della CVE-2021–21974 in VMWare ESXi
(AL01/230204/CSIRT-ITA)

ALERT

04/02/2023 22:23

VMWare

Exploit

ESXi

CVE-2021–21974

Sintesi

Rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021 – presente nei prodotti VMware ESXi.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (70,25/100)¹.

Descrizione

È stato recentemente rilevato lo sfruttamento massivo, ai fini del rilascio di ransomware, della vulnerabilità CVE-2021–21974 trattata da questo CSIRT nell’alert AL03/210224/CSIRT-ITA. Sulla relativa campagna il Computer Emergency Response Team Francese (CERT-FR) ha pubblicato un security advisory, disponibile nella sezione riferimenti, in cui si evidenziano i relativi dettagli.

Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali.

Qualora sfruttata, tale vulnerabilità, con score CVSS v3 pari a 8.8, di tipo “heap buffer overflow” e relativa alla componente OpenSLP – con riferimento ai prodotti VMware ESXi e Cloud Foundation (ESXi) – potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.

Per eventuali ulteriori approfondimenti si consiglia di consultare il security advisory, disponibile nella sezione Riferimenti.

Prodotti e versioni affette

VMware ESXi 6.5

VMware ESXi 6.7

VMware ESXi 7.0

VMware Cloud Foundation (ESXi) 3.x

VMware Cloud Foundation (ESXi) 4.x

Azioni di Mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.