Gli hacker vanno alla ricerca dei server VMware non patchati: una grave falla permette agli attaccanti di violarli facilmente

Gli hacker vanno alla ricerca dei server VMware non patchati: una grave falla permette agli attaccanti di violarli facilmente

È stata trovata, e corretta, una grave falla nei server WMvare, caratterizzata con un punteggio di pericolosità di 9,8 su 10. Nonostante sia già disponibile la patch, ci sono più di 6.000 server ancora non aggiornati e quindi vulnerabili

di pubblicata il , alle 11:01 nel canale Security
VMware
 

La falla indicata come CVE-2021-21974 non è uno dei tanti bug che affliggono i sistemi, ma una serissima minaccia che affligge i server VMware vCenter: sfruttandola, un attaccante senza alcuna autorizzazione potrebbe caricare file ed eseguirli sul sistema. Il problema sembra essere relativo al plugin vRealize Operations, presente nell'installazione predefinita.

Vmwarebug

Gli hacker alla ricerca di server VMware non aggiornati

Al contrario di molte vulnerabilità che non sono facili da sfruttare, quella scoperta di recente sui server VMware rappresenta un serio rischio: a un giorno di distanza dalla pubblicazione della patch, infatti, sono già stati resi disponibili exploit che permettono di sfruttarla, e che possono venire usati anche da persone non particolarmente esperte. L'exploit, infatti, consiste in una semplice cURL request.

La stessa VMware indica la falla come critica, specificando che "Un attore malevolo con accesso alla porta 443 potrebbe sfruttare questa vulnerabilità per eseguire comandi, anche senza averne i privilegi, sul sistema operativo sul quale gira il vCenter Server". 

Nonostante la gravità, non tutti gli IT manager sono corsi ai ripari: una ricerca su Shodan per i server non patchati mostra oltre 6.700 risultati. Tutte macchine raggiungibili via Internet e che potrebbero essere compromesse con semplicità. Gli hacker però non si stanno limitando a guardare e, a quanto riporta il ricercatore Troy Mursch di Bad Packets sono già in corso attività massicce di scansione della rete. 

Secondo ZDNet, Positive Technologies, che ha scoperto la vulnerabilità, avrebbe avuto intenzione di attendere che tutti gli amministratori avessero messo in sicurezza i sistemi prima di pubblicare i dettagli sul bug, ma la pubblicazione su un sito cinese di un exploit ha spinto l'azienda ad accelerare la divulgazione delle informazioni. 

Se gestite un server VMware, insomma, è meglio correre ad aggiornarlo, se non lo avete già fatto. 

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6927 Febbraio 2021, 15:10 #1
Se sono in grado di verificare un tale numero di server non patchati, perchè non sono anche in grado di far apparire un avviso o addirittura bloccare tali server, dando un termine entro il quale effettuare l'aggiornamento?
coschizza27 Febbraio 2021, 16:24 #2
Originariamente inviato da: giovanni69
Se sono in grado di verificare un tale numero di server non patchati, perchè non sono anche in grado di far apparire un avviso o addirittura bloccare tali server, dando un termine entro il quale effettuare l'aggiornamento?


Perché è vietato dalla legge
giovanni6927 Febbraio 2021, 16:28 #3
Quindi se Adobe avvisa che Flash viene bloccato da remoto dopo una certa data è accettabile mentre se lo fa Vmware no?

Per utilizzare Flash, adesso è necessario usare l'Admin Manual da cui estrarre una serie di comandi con cui istruire l'OS o il browser di turno di bypassare il blocco, ovviamente a rischio e pericolo dell'utente.

Perchè non ingegnerizzare qualcosa del genere per piattaforme così diffuse e sofisticate come Vmware?
coschizza27 Febbraio 2021, 16:37 #4
Originariamente inviato da: giovanni69
Quindi se Adobe avvisa che Flash viene bloccato da remoto dopo una certa data è accettabile mentre se lo fa Vmware no?

Per utilizzare Flash, adesso è necessario usare l'Admin Manual da cui estrarre una serie di comandi con cui istruire l'OS o il browser di turno di bypassare il blocco, ovviamente a rischio e pericolo dell'utente.

Perchè non ingegnerizzare qualcosa del genere per piattaforme così diffuse e sofisticate come Vmware?


Adobe non c’entra niente con questo caso quello si sa che era bloccato e lo è solo se decidi di applicare, nessuno te lo impone forzatamente
Vmware può solo fare le patch e pubblicarle è solo il sistemista la può applicare come e quando vuole a suo rischio e pericolo.
panic-error27 Febbraio 2021, 17:37 #5
Premesso che ho già patchato tutti gli ambienti VMware che gestisco, mi permetto di criticare il senso di terrore e drammaticità che trapela dall’articolo. Sembra infatti che qualsiasi server VMware sia esposto su internet alla mercé di chiunque, quando invece è l’esatto contrario. È vero che le minacce potrebbero arrivare anche da rete interna ma c’è una bella differenza rispetto lasciar intendere che migliaia di ambienti VMware siano esposti ad internet.
Jack.Mauro27 Febbraio 2021, 20:53 #6
Originariamente inviato da: panic-error
mi permetto di criticare il senso di terrore e drammaticità che trapela dall’articolo. Sembra infatti che qualsiasi server VMware sia esposto su internet alla mercé di chiunque, quando invece è l’esatto contrario.


Beh l'articolo dice esplicitamente che quei server sono esposti su internet:
una ricerca su Shodan per i server non patchati mostra oltre 6.700 risultati. Tutte macchine raggiungibili via Internet e che potrebbero essere compromesse con semplicità.


Il problema secondo me non è la falla, ma avere le interfacce di management di qualsiasi cosa (vmware in primis) esposti su internet......
giovanni6927 Febbraio 2021, 21:00 #7
Originariamente inviato da: coschizza
Adobe non c’entra niente con questo caso quello si sa che era bloccato e lo è solo se decidi di applicare, nessuno te lo impone forzatamente
Vmware può solo fare le patch e pubblicarle è solo il sistemista la può applicare come e quando vuole a suo rischio e pericolo.


"e lo è solo se decidi di applicare, nessuno te lo impone forzatamente"
E come no!
Altro che forzato! Adobe ha imposto il blocco a tutti il 12 gennaio, non ha lasciato scelta dopo una certa data fissata da tempo, tranne appunto voler agire in senso opposto con gli appositi comandi.

Per questo affermavo che per certe vulnerabilità potrebbe esserci un approccio simile: o aggiorni, oppure ti blocco il software a meno che esplicitamente non vai a dare certi comandi.
woddy6827 Febbraio 2021, 23:51 #8
Originariamente inviato da: giovanni69
"e lo è solo se decidi di applicare, nessuno te lo impone forzatamente"
E come no!
Altro che forzato! Adobe ha imposto il blocco a tutti il 12 gennaio, non ha lasciato scelta dopo una certa data fissata da tempo, tranne appunto voler agire in senso opposto con gli appositi comandi.

Per questo affermavo che per certe vulnerabilità potrebbe esserci un approccio simile: o aggiorni, oppure ti blocco il software a meno che esplicitamente non vai a dare certi comandi.


Forse non è chiara una cosa, adobe flash è un plugin, non un programma vero e proprio, adobe ha interrotto il supporto, sono i vari browser ad averlo rimosso, eliminando definitivamente il supporto a Flash. In questo caso invece questa è una VM, che un utente è libero di installarsi sul pc, dopodichè il fatto che non abbiano un sistema automatizzato di aggiornamento è un'altro discorso, ma di certo non può essere tizio o caio a mandare messaggi, seppur di sicurezza, sfruttando tra l'altro una vulnerabilità. Questo è impensabile oltre che illegale.
Tedturb028 Febbraio 2021, 06:57 #9
E Windoze 10? E Merdroid col google play?
OUTATIME28 Febbraio 2021, 09:48 #10
Originariamente inviato da: giovanni69
Per questo affermavo che per certe vulnerabilità potrebbe esserci un approccio simile: o aggiorni, oppure ti blocco il software a meno che esplicitamente non vai a dare certi comandi.

E cosa fai? Blocchi un server VMware o magari tutto un cluster?
Cioè causi sicuramente un disservizio, per prevenire forse un disservizio?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^