Una recente ondata di attacchi ransomware è alimentata da una vulnerabilità di VMWare risalente a due anni fa. Gli attacchi hanno colpito migliaia di organizzazioni in tutto il mondo, soprattutto in Europa e Nord America.
Da tutto il mondo arrivano segnalazioni su un nuovo ransomware chiamato EXSIArgs. Sfruttando una vulnerabilità di due anni fa nel software dell'hypervisor EXSI, i malintenzionati sono in grado di cancellare file importanti all'interno del sistema delle workstation infette. Al 6 febbraio 2023 sono stati colpiti più di 3.200 server VMWare.
L'incidente ha suscitato reazioni immediate da parte delle autorità delle aree interessate. Un portavoce dell'Agenzia americana per la sicurezza informatica e delle infrastrutture, nota anche come CISA, ha annunciato che l'organizzazione è al corrente del problema. La CISA sta lavorando a stretto contatto con partner pubblici e privati per valutare l'impatto degli attacchi e fornire assistenza dove necessario. Anche l'Agenzia nazionale italiana per la sicurezza informatica ha lanciato un avvertimento alle organizzazioni, invitandole a prendere provvedimenti immediati.
Come è successo
L'attacco è partito da una vulnerabilità di due anni fa nei server EXSI di VMWare. EXSI è una tecnologia utilizzata dall'azienda per ospitare e coordinare più macchine su un singolo server. La vulnerabilità in questione è legata al servizio OpenSLP, disponibile nelle versioni precedenti di EXSI. Se i malintenzionati sfruttano questa vulnerabilità, possono eseguire codice che cancella i file sul sistema.
Questa vulnerabilità, tuttavia, non è sconosciuta. È stata divulgata nel 2021 ed è stata segnalata come CVE-2021-21974. L'azienda raccomanda alle aziende di iniziare ad aggiornare i componenti di vSphere alle versioni più recenti, in quanto contengono la patch per questa vulnerabilità.
Vulnerabilità: I pugnali nascosti
I malintenzionati utilizzano da tempo le vulnerabilità software, con alcuni casi particolarmente noti come CVE-2018-8174, noto anche come Double Kill, e l'exploit ProxyLogon. Poiché le vulnerabilità possono essere punti di ingresso per le minacce informatiche, gli esperti raccomandano di applicare le patch non appena è disponibile un aggiornamento.
I governi e le altre normative in materia di vulnerabilità stanno diventando sempre più diffusi e rigorosi. Ad esempio, nell'ottobre del 2022, la già citata CISA ha emesso una direttiva operativa vincolante (BOD 23-01) per migliorare la visibilità delle risorse e vulnerability detection sulle reti federali. Entro il 3 aprile 2023, tutte le agenzie federali sono tenute a rispettare l'obbligo di eseguire il rilevamento automatico delle risorse ogni 7 giorni e di avviare l'enumerazione delle vulnerabilità su tutte le risorse scoperte (compresi gli endpoint come i laptop) ogni 14 giorni.
Sebbene sia essenziale per tutte le organizzazioni e ora richiesto dalle agenzie federali, non significa che sia un compito facile. Le organizzazioni possono avere fino a migliaia di dispositivi che devono essere aggiornati alla volta, ed è anche uno sforzo colossale assicurarsi che ogni singolo dispositivo sia aggiornato. Ricordate che un solo dispositivo infetto può innescare una catena di infezioni che causano una massiccia violazione dei dati.
Come SDP e Zero-Trust possono proteggere la vostra rete
OPSWAT MetaDefender Access Zero-Trust Access Platform è una soluzione completa che offre conformità, visibilità e controllo della sicurezza per ogni dispositivo e utente che accede alle risorse dell'organizzazione.
Conformità
MetaDefender Access esegue il controllo della postura dei dispositivi più completo del settore (15 categorie di controlli), compresa l'esecuzione di una valutazione dei rischi e delle vulnerabilità. Rileva oltre 35.000 CVE e può applicare automaticamente patch a più di 150 applicazioni di terze parti.
Controllo degli accessi
Dopo che MetaDefender Access ha accertato che il dispositivo endpoint è conforme e sicuro, gli utenti sono autorizzati ad accedere alla rete attraverso una soluzione IAM (identity authorization management) integrata. In seguito, attraverso un perimetro definito Software SDP), potranno accedere alle risorse dell'organizzazione in base a una politica di minimizzazione dei privilegi.
Visibilità
La protezione va ancora più in profondità. Con MetaDefender Access, nel caso del software EXSI, gli hacker non sarebbero mai in grado di connettersi, poiché le risorse e le applicazioni che si trovano dietro SDP sono invisibili a tutti i dispositivi; pertanto, gli hacker non saprebbero mai della loro presenza. Inoltre, solo i dispositivi affidabili che hanno superato i rigorosi controlli di conformità e sicurezza descritti in precedenza possono accedere alle risorse tramite SDP.
Le organizzazioni non devono rimanere indifese quando i malintenzionati sfruttano una vulnerabilità. Applicando regolarmente le patch alle applicazioni e agli endpoint, le organizzazioni possono ridurre al minimo il rischio di attacchi, evitando costosi incidenti ransomware. Soluzioni come la piattaforma OPSWAT MetaDefender Access Zero-Trust Access consentono alle organizzazioni di accelerare il processo in modo conforme, sicuro ed economico.
Per saperne di più sulla nostra piattaformaMetaDefender Access Zero-Trust Access.
