06 Febbraio 2023
Da ieri, come avrete sentito nelle ultime ore, è in corso una campagna di attacchi informatici di tipo ransomware ai danni di alcuni server basati su vecchie versioni della suite di virtualizzazione VMware, in particolare il componente/servizio ESXi. È un attacco piuttosto diffuso, ma non esagerato; e soprattutto pare che abbia ripercussioni limitate per il grande pubblico (per capirci, non ha causato il blocco di servizi diffusissimi come WhatsApp o Facebook).
Eppure, per qualche ragione, sembra che abbia catturato molto l'interesse della stampa generalista, soprattutto quella italiana, che l'ha riportato con toni piuttosto intensi. Con questo piccolo approfondimento cerchiamo di inquadrare meglio cause, diffusione e conseguenze, con un doveroso monito: la situazione è ancora in divenire sicché alcuni dettagli potrebbero variare in tempi relativamente brevi.
SOMMARIO
LE BASI: BREVE GLOSSARIO
Prima di approfondire vale la pena spendere due parole su alcuni termini tecnici, senza dilungarci troppo. Un ripasso breve o un’infarinatura per chi non ha molta dimestichezza.
- VM o macchina virtuale o virtual machine. Sostanzialmente è l’idea di eseguire un sistema operativo dentro a un altro sistema operativo, quasi come se fosse un’applicazione. Può capitare per esempio di aver bisogno di eseguire un ambiente Linux sul proprio computer Windows, o un ambiente Windows su un Mac, per lanciare applicazioni e giochi particolari non disponibili nativamente. In ambiente aziendale/enterprise è un sistema estremamente diffuso per il controllo dei server. In buona sostanza
- hypervisor. Si tratta di un’applicazione studiata appositamente per controllare, gestire e monitorare più macchine virtuali. Viene eseguito a livello di sistema operativo della macchina nativa.
- ransomware. Sono dei particolari tipi di attacco informatico che si sono diffusi nell’ultimo periodo. In sostanza nel sistema compromesso viene caricato ed eseguito un software che cripta tutti i file del sistema, li organizza in archivi protetti da password e poi chiede all’utente/proprietario del sistema un riscatto (generalmente in criptovalute) per ottenere tale password (e quindi recuperare i file).
LA VULNERABILITÀ
Come vi raccontavamo questa mattina, la vulnerabilità è contraddistinta dalla sigla CVE-2021–21974; la sigla implica chiaramente che è stata scoperta nel 2021. Riguarda il software VMware ESXi, che è un componente specifico della suite software enterprise di virtualizzazione della società americana.
Nello specifico, ESXi è un hypervisor - in effetti uno dei più diffusi al mondo. Viene presa di mira una porta ben specifica, la 427, del componente OpenSLP; inviandogli una specifica tipologia di dati è possibile causare un errore di tipo heap overflow, che in buona sostanza permette di eseguire codice da remoto bypassando le misure di sicurezza/autenticazione. Se siete interessati ad approfondire ancora di più questo aspetto ben preciso, i colleghi di BleepingComputer hanno realizzato un articolo estremamente dettagliato che analizza l'attacco quasi riga per riga di codice.
IL DANNO
Come dicevamo, e semplificando all’estremo, una macchina virtuale è di fatto un’applicazione; non funziona in modo diverso da Word, per dire, solo che invece che aprire documenti di testo lavora con dei file contenitori, in cui sono presenti tutti i file di un sistema operativo. Il ransomware ha criptato questi file contenitori, e ha chiesto un riscatto per "liberare" i file.
DIFFUSIONE DELL'ATTACCO
L’attacco è stato piuttosto diffuso, ma è corretto dare una dimensione un po’ più precisa e definita ai termini generici, e spesso piuttosto iperbolici, che si sono visti soprattutto sulla stampa italiana. Secondo i dati aggiornati in tempo-più-o-meno-reale di Censys, ammontano a poco più di 1.800; la stragrande maggioranza (quasi 800) si trova in Francia, seguono gli USA e la Germania con circa 250 a testa. Per quanto riguarda l’Italia, siamo a quota 17. I numeri stanno ancora crescendo, ma l'ondata sta rallentando
Stabilire con precisione quanti server ci siano nel mondo - o anche solo in Italia (attenzione, non data center: singoli server!) è pressoché impossibile, ma possiamo dire con un certo livello di sicurezza che si tratta di una quota estremamente minoritaria del totale. Un'analisi, invece, dei server a rischio, cioè con versioni vecchie e non corrette di VMware ESXi, restituisce cifre decisamente più elevate - circa 70.000 sistemi.
''BASTAVA AGGIORNARE''
Un dettaglio fondamentale di tutta la questione è che una patch correttiva è stata distribuita praticamente subito dopo la scoperta della vulnerabilità. In concreto, sarebbe bastato tenere aggiornati i componenti software del server per evitare quest’ultima ondata di attacchi. Ma in alcuni casi non è stato fatto, e puntualmente si è riaccesa la solita polemica sull’argomento. Il fatto è che dietro a quel “sarebbe bastato” si nasconde una delle matasse più difficili da sbrogliare dell’intero settore dell’informatica.
Riassumendo. Applicare un aggiornamento a una rete di server o macchine virtuali è un pochino più complicato di farlo su uno smartphone; soprattutto perché le implicazioni sono più ampie. Non tutte le patch, purtroppo, “riescono col buco”, e se una di queste introduce un bug critico che rende il sistema inutilizzabile magari un’intera azienda rimane paralizzata - i dipendenti non possono lavorare e la produzione non va avanti.
Ci sono sistemi, controlli e procedure per evitare, o quantomeno provarci, scenari del genere, ma sono costosi in termini di tempo, impegno e denaro. È in larga parte un lavoro di indagine, che per natura non è una scienza esatta, molto complesso con moltissimi fattori in gioco, tra cui l’astuzia/motivazione del personale, gli strumenti a loro disposizione, e il tempo. E molti di questi parametri variano, come è facile immaginare, in base alla quantità di denaro a disposizione.
PRATICHE DISCUTIBILI
Ma non è solo una questione di applicazione o meno della patch. Diversi esperti del settore si stanno chiedendo come sia stato possibile trovare così tanti server vulnerabili. Sembra abbastanza chiaro che gli indirizzi IP degli hypervisor fossero pubblici e che non ci fosse una protezione della porta 427, che peraltro non è generalmente aperta in quanto dedicata a servizi comuni e diffusi. Insomma, viene facile immaginare che la configurazione dei firewall e di rete dei server colpiti fosse stata molto grossolana e approssimativa, ammesso e non concesso che i firewall ci fossero.
E ADESSO COSA SI FA?
Per chi è stato già colpito, le alternative sono poche: pagare, ripartire da zero o ripristinare. Le prime due si spiegano da sole, la terza prevede l’esistenza di un piano per la cosiddetta “disaster recovery” - banalmente in genere si parla di backup su sistemi/supporti esterni che permettono di recuperare almeno buona parte dei dati, si spera, a seconda di quanto spesso vengono eseguiti.
Per chi invece ancora non è stato colpito (vale la pena osservare che al momento i tentativi di infezione siano ancora in corso), beh, gli strumenti per mettere in sicurezza i sistemi ci sono tutti, e sono molteplici: si può aggiornare il software, si può configurare correttamente un firewall e più in generale la rete (per dettagli più specifici, rivolti prettamente ai professionisti del settore, è possibile dirigersi QUI). La speranza è che ora che si sta diffondendo la notizia tutti corrano ai ripari; meno realistico è sperare che almeno questa volta si sia imparata la lezione che “prevenire è meglio che curare”, visto la si ripete più o meno ogni volta che accadono disastri (non necessariamente informatici) da decenni a questa parte.
Per quanto riguarda noi utenti finali, c'è davvero poco da dire: potrebbe capitare che qualche servizio o piattaforma non siano disponibili, o che abbiano funzionalità limitate/a singhiozzo. Ma, chiariamoci, nulla di eccessivamente grosso: in effetti a questo proposito vale la pena osservare che i disservizi di TIM degli ultimi giorni non siano correlati all'incidente.
LA NOTA DEL GOVERNO
La nota diffusa oggi dal Governo conferma che l'attacco non ha compromesso nessuna istituzione o azienda primaria che opera in settori critici:
In merito all’attacco hacker verificatosi su scala mondiale, la riunione tenuta stamane a Palazzo Chigi, coordinata dal Sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, con l’ing. Roberto Baldoni e l’amb. Elisabetta Belloni, è servita a verificare che, pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita.
I risultati delle prime indagini portano inoltre ad escludere che l'attacco possa essere stato messo in atto da uno Stato ostile. Si tratterebbe dell'azione di criminali informatici che vogliono arricchirsi mediante il pagamento del riscatto,
Nel corso delle prime attività ricognitive compiute da ACN-Agenzia per la Cybersicurezza Nazionale, unitamente alla Polizia Postale, non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un ‘riscatto’.
ONDATA CONCLUSA, E ARRIVA LO SCRIPT DI RIPRISTINO
08/02
Possiamo dire che la questione si è ormai più o meno conclusa: il numero di server colpiti si è praticamente fermato a quota 2.800, e nella maggior parte dei casi è stato possibile ripristinare i dati. Vale la pena segnalare che la CISA (Cybersecurity and Infrastructure Agency) ha rilasciato uno script per provare a ripristinare e recuperare le macchine virtuali colpite dall'attacco. Alcune aziende, dice la CISA stessa, hanno avuto successo nell'operazione senza il pagamento di alcun riscatto. Procedura e tutorial dettagliati sono disponibili su questa pagina GitHub.
Commenti
Fratello e quasi coetaneo ti abbraccio forte...
Eh ma il mio cliente è la direzione interna :D Il mio lavoro è di sistemista negli IT interni. Per crescita personale ho fatto un po di turnover in reparti IT delle PMI abbastanza serrato rispetto agli "standard italiani" (anche perchè ho fatto anche un po di consulenza e quindi ho visto diverse società) e ovunque sono andato la situazione è sempre stata quella. Da una parte mi piace perchè alla fine "con i soldi sono bravi tutti" ma dall'altra avere a disposizione più budget non farebbe schifo appunto per avere un sistema più gestibile. Diciamo che alla fine tira a destra, tira a sinistra si riesce a mettere in piedi qualcosa di affidabile, il problema però è appunto in situazioni di emergenza, sai benissimo che non ti puoi affidare completamente alla ridondanza, ma devi scegliere chi e cosa mantenere online.
e li il problema.... capisco che se vuoi mangiare ti devi adeguare anche a quelle situazioni, però se possibile, un pò alla volta, sarebbe meglio lasciar stare quel tipo di clientela, e lasciarli al loro destino. Alla prima occasione si renderanno conto (forse) che aver tirato troppo la corda è stato deleterio.
Leggo i commenti e mi trovo d'accordo più o meno su tutto quello che viene scritto. Al primo posto tra le cause va messo il sottovalutare l'importanza critica dell'area it. Sottovalutare gli investimenti per mettere al sicuro e mantenere il livello di sicurezza adeguato è un errore comune al 60 70 % delle PMI. Ne parlo in prima persona e da it so che molti noi fanno salti mortali per mantenere un livello accettabile di sicurezza. Ovviamente le soluzioni a costo 0 c'erano per mitigare l'attacco ma se non hai un it interno e affidi la gestione a chi ti fa spendere meno te la sei cercata
Bisogna reinventare un internet piu' sicuro, se le cose rimangono così il peggio dovrà ancora arrivare
Purtroppo quasi ovunque è cosi "L'infrastruttura funziona, perchè chiedi tutti quei soldi per sistemarla?" Gran parte delle aziende è rimasta negli anni 2000 quando le cose si facevano alla buona perchè tutte queste criticità non c'erano.
Ma complimentoni, anche 15 anni fa c'era internet. Bravissimi!
Purtroppo VmWare costa, i server altrettanto e i board di aziende medio\piccole non hanno ancora capito che l'infrastruttura informatica è fondamentale. Ho fatto un po paio di progetti di ammodernamento del CED delle "classiche PMI". Parti del presupposto che l'attuale infrastruttura è satura, cerchi di stare basso proponendo un cluster di due nodi che riescano a gestire l'HA delle attuali macchine, conti un 30% in più in previsione di una crescita, limite le licenze di Vmware a quelle "base" rinunciando al bilanciamento, vmotion ecc.. presenti tutto alla direzione sapendo che meno di cosi non potevi fare e la risposta è che costa troppo. A quel punto prendi due server poco più potenti rispetto ai cadaveri che sono ancora accesi per miracolo e speri appunto di non dover fare troppa manutenzione perchè se sposti più di un tot di macchine il server che dovrebbe rimanere accesso andrebbe a tappo con le risorse e quindi ti trovi a dover spegnere tutto ma non puoi perchè il business non si deve fermare.
Beh... non è neanche così difficile. Si presume che chi ha queste soluzioni, le abbia sotto cluster, e in qual caso le vm si possono spostare a caldo su altri host in modo da procedere all'installazione delle patches. vmware frà l'altro può anche farlo in automatico dal vcenter.
La realtà e che forse siamo amministrati dal sistemista cuggino del politico/ceo di turno, che sa usare bene l'exccell e il word(star).
volevo solo portare il contributo della mia esperienza in ITalia. Il solo motivo per ci quel service provider ancora operante non e' stato colpito e' ceh quando hanno iniziato a virtualizzare hanno scelto Oracle e quindi il suo prodotto basato su Xen
ma sicuramente pure il loro sara' una versione vecchia priva di patch.....GARANTITO
Beh all'estero (per es. Francia) non mi sembrano molto meglio considerando cosa è successo ultimamente.
15 anni fa lavoravo per un service provider della mia zona che forniva Hosting anche a siti di informazione piuttosto famosi.
Le norme di sicurezza erano imbarazzanti, usavano solo switch unmanaged e niente Vlan. I server avevano tutti un indirizzo IP pubblico (e non il forward delle sole porte necessarie, niente proxy o altro)
E' vero che parliamo di 15 anni fa, ma con la mentalita' che regnava in azienda non credo sia cambiato piu di tanto....
> le alternative sono poche: pagare, ripartire da zero o ripristinare
Altre fonti dicono che e' stato criptato solo un file di configurazione.
Basta fare il restore di quello
Anche perché VMWare ha il vizietto di supportare sempre meno l'hardware precedente man mano che escono versioni "nuove" di ESXi. Infatti io uso Proxmox :).
Si lo so che sono porte di default, ma se i firewall sono gestiti bene con un bel deny implicito tra le VLAN e gli ESXi sono sulla VLAN di management allora sei protetto quasi da tutto. Apri l'HTTPS e l'SSH verso la management solo ai PC admin ed è tutto isolato correttamente. Intervenire sui parametri di default non sai mai cosa può accadere a meno che non sono casi davvero particolari, anche perchè nemmeno se chiedi al supporto ti sanno dare una riposta precisa.
AnOnyMo us colpirà tutti voi £b@xtardI Fi GLI dI Pu TtaNa£"£££$!!$$
AnOnyMo us colpirà tutti voi £b@xtardI Fi GLI dI Pu TtaNa&&££""
AnOnyMo us colpirà tutti voi £b@xtardI Fi GLI dI Pu TtaNa Q""£"!£$
AnOnyMo us colpirà tutti voi £b@xtardI Fi GLI dI Pu TtaNa||())(&()
AnOnyMo us colpirà tutti voi £b@xtardI Fi GLI dI Pu TtaNa!!
AnOnyMo us colpirà tutti voi £b@xtardI Fi GLI dI Pu TtaNa ""
AnOnyMo us colpirà tutti voi £b@xtardI Fi GLI dI Pu TtaNa
AnOnyMo us colpirà tutti voi
io l'ho letta piu' come un'invidia da parte loro perche' ieri sera il TG5, lavorando anche di domenica, li ha preceduti sulla notizia xD
Applausi
Non è così, nella maggior parte dei casi.
Il provider più colpito è stato Ovh che per l’appunto se noleggi server bere metal e ci installi VMware ti attesta vmkernel su ip pubblico con default tutto aperto. Non si scappa.
L’unica è mettere in whitelist ip pubblici statici dal quale ti colleghi e/o modificare il vmkernel.
A usanti pare pochi hanno fatto qst cosa e non mi sorprende per nulla.
quella porta è aperta di default. a meno che non vai a fare i check specifici difficilmente te ne accorgi. Perchè anche se disattivi il servizio che sfrutta quella porta, essa rimane comunque aperta.
ovvio... quando scrivo che "solo gli amministratori dovrebbero accedere alla vlan amministrativa" voglio proprio significare quello. Ossia che solo i computer in uso agli amministratori deve essere consentito l'accesso alla lan/vlan amministrativa. Se mi fai la allow any-any, tanto vale lasciare le finestre aperte con il riscaldamento accesso.
Fatemelo dire il vertice a Palazzo Chigi di Giorgia è stato chiaro, è tutta colpa della Francia che non si è protetta, poi visto che siamo troppo aperti l'infezione si è diffusa anche in Italia, d'altronde servirebbe un bel Dpcm per aggiornare i sistemi con una nuova dose.
Stesso lavoro proprio....
Dipende, se c'è una rete piatta (più comune di quanto si possa pensare) oppure ci sono le VLAN ma per comodità le regole di accesso sono any-any allora il danno è fatto.
puoi anche metterla in lan
ma per esporla DEVI farlo tu
c'è quasi il dolo
boo
effettivamente...ahhahahaha
già
non mi capacito nemmeno io
in pratica a inizio articolo avete accusato la stampa italiana di fare cose che a volte fate anche voi nei vostri articoli, ovvero gridare allo scandalo usando toni intensi anche quando non necessario.
Un salute alle aziende (tipo quella da cui sono scappato anni fa) che non avendo voglia di pagare i sistemisti fanno fare ste cose agli stagisti e ai freelance sudamericani. Che tanto "cosa ci vuole a instanziare un server esxi e un paio di vm!".
buono a sapersi!
A parte la questione patch che appunto non è cosi semplice su questo tipo di sistemi, come diav*lo si fa a lasciare gli hypervisor contattabili senza alcun controllo sia dalla rete interna ma soprattutto dall'esterno? Praticamente hanno esposto l'intera infrastruttura al pubblico, bastava anche una sola password debole (e immagino che a questo punto le usino senza problemi) che davano l'accesso ad ogni cosa. Ma sono cose da pazzi! Che la falla c'è e va chiusa è fuori da ogni dubbio, ma se si facessero le cose in minima parte con criterio non sarebbero successi tutti sti problemi.
https://uploads.disquscdn.c...
Per chi ha ancora il buco aperto sappiate che il workaround consigliato da VMWare si applica in 5 minuti ed è in pratica lo stop permanente del servizio in oggetto, che non provoca alcun problema nella stragrande maggioranza dei casi. Buono come pezza, è ovviamente consigliato aggiornare esxi alla versione patchata.
Le basi: mancano.
E' chiaro che la vulnerabilità esiste, ma quà la cosa va oltre.
La porta incriminata è aperta su quello che vmware viene definito come Vmk, ossia la scheda di rete virtuale, dove vmware espone tutti i servizi associati e l'amministratore dell'hypervisor.
Solitamente, queste robe, andrebbero associate ad una porta fisica specifica e quindi isolata in una sottorete non raggiugibile da nessuno, se non appunto da un amministratore... o tutt'al più, almeno in una vlan separata da quella usate per le vm, e anch'essa raggiungibile solo da amministratore.
Ora... è chiaro, che se per comodità o quant'altro, poni la Vmk esposta sulla stessa rete dove hai i pc dei tuoi utenti che vanno a scaricare porcherie dai siti sporcacioni, o peggio la tieni esposta su internet, perchè magari vuoi amministrarti il server da remoto, beh... non è che ti puoi lamentare poi.