Allarme VMware: 20.275 Istanze Vulnerabili
Pronte a Essere Hackerate!

/ / Published in Analisi Tecnica, Cyber Security, HACKER

Cari amici italiani della cybersecurity, preparatevi a una bella dose di ansia da prestazione tecnologica! Secondo la Shadowserver Foundation, ben 20.275 istanze di VMware ESXi sono attualmente esposte a una vulnerabilità che fa gola ai criminali informatici come una pizza margherita ben fatta.

La Vulnerabilità: Un Buco Nella Sicurezza Grosso Come Il Colosseo

La falla in questione, identificata come CVE-2024-37085, è un bypass dell’autenticazione che permette agli attaccanti di ottenere il controllo totale degli hypervisor ESXi. In pratica, è come lasciare le chiavi di casa sotto lo zerbino con un bel cartello “Ladri, accomodatevi!”.

Pillola Tecnica #1

CVSS Score: 6.8
Tipo: Bypass dell'autenticazione
Impatto: Controllo amministrativo completo dell'hypervisor

I Cattivoni All’Opera: Ransomware Per Tutti!

Microsoft ha lanciato l’allarme: gruppi di ransomware stanno già sfruttando questa vulnerabilità come se fosse un buffet all-you-can-eat. Tra i nomi dei gruppi ci sono Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest. Sembrano nomi di cocktail tropicali, ma vi assicuro che la sbronza che vi danno è tutt’altro che piacevole.

Come Funziona l’Attacco (Per I Curiosi)

  1. Creano un gruppo di dominio chiamato “ESX Admins”
  2. Aggiungono utenti a questo gruppo
  3. Voilà! Hanno accesso amministrativo completo all’hypervisor ESXi

È così semplice che fa quasi piangere, vero?

Conseguenze: Un Disastro Digitale In Salsa Italiana

Immaginate di avere tutti i vostri sistemi critici ospitati su queste macchine virtuali. Ora immaginate che qualcuno possa spegnerle, criptarle o rubare tutti i dati. Ecco, avete appena immaginato lo scenario peggiore per la vostra azienda. Complimenti!

Pillola Tecnica #2

Rischi principali:
- Crittografia del filesystem dell'hypervisor
- Interruzione delle macchine virtuali ospitate
- Esfiltrazione di dati
- Movimento laterale nella rete

Come Proteggersi: Istruzioni Per Non Farsi Hackerare (Troppo Facilmente)

  1. Aggiornate, per l’amor del cielo! Broadcom ha rilasciato patch di sicurezza. Usatele!
  2. Per i nostalgici che usano versioni non più supportate:
  • Impostate Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd a false
  • Cambiate Config.HostAgent.plugins.vimsvc.authValidateInterval da 1440 a 90
  • Modificate Config.HostAgent.plugins.hostsvc.esxAdminsGroup a una stringa vuota
  1. Autenticazione Multi-Fattore: Usatela! A meno che non vogliate che il vostro sistema sia più accessibile di una piazza durante il Carnevale di Venezia.
  2. Isolate gli account privilegiati: Trattate i vostri account admin come se fossero bottiglie di vino pregiato. Non li mischiate con gli account “da tutti i giorni”.

Pillola Tecnica #3

Comandi per la mitigazione:
esxcli system settings advanced set -o /Config/HostAgent/plugins/hostsvc/esxAdminsGroupAutoAdd -i 0
esxcli system settings advanced set -o /Config/HostAgent/plugins/vimsvc/authValidateInterval -i 90
esxcli system settings advanced set -o /Config/HostAgent/plugins/hostsvc/esxAdminsGroup -s ""

Conclusione: Tenete Gli Occhi Aperti E Le Patch Aggiornate!

Ricordate, amici: nel mondo della cybersecurity, essere paranoici non è un difetto, è una virtù! Quindi, aggiornate i vostri sistemi, controllate le configurazioni e, per favore, non usate “123456” come password.

E se pensate che tutto questo sia troppo complicato, ricordate: è sempre meglio una serata passata ad aggiornare i sistemi che una notte in bianco a negoziare con i ransomware. Buona fortuna e che la forza della cybersicurezza sia con voi!

Condividi
Tagged under: , , , ,

What you can read next

Windows, il colosso con i piedi d’argilla:
una falla che fa tremare l’intero ecosistema
Attacco Hacker a TeamViewer:
APT29 Russo Dietro la Violazione del Network Aziendale
Gli hacker rubano 3 milioni di dollari
impersonando giornalisti di criptovalute