Che cosa sono i server VMWare ESXi e perché la vulnerabilità era nota già nel 2021
L'impatto tutto sommato limitato sulle infrastrutture italiane ci permette di concentrarci in modo particolare sulla tipologia di server che è stata presa di mira
06/02/2023 di Gianmichele Laino
Non parliamo propriamente di un software, ma di uno strumento che è risultato – negli anni – estremamente utile alle aziende che, dovendo gestire una grande quantità di dati, hanno avuto bisogno di diversificarli e di gestirli in maniera separata. VMWare ESXi si installa su server fisici e permette, dunque, di suddividere e controllare le risorse hardware di una o più macchine in più ambienti virtuali e di affidare a ogni partizione un servizio o un compito diverso, in modo da ottimizzare le risorse dell’architettura. Non a caso VM sta per Virtual Machine.
LEGGI ANCHE > L’anomalia di TIM (risolta) e l’annuncio di una vulnerabilità attaccata dagli hacker non hanno nulla in comune
VMWare ESXi e quella vulnerabilità individuata nel 2021: dove hanno sbagliato le aziende
Lo strumento di VMWare ESXi permette, sostanzialmente, di migliorare le prestazioni dal lato hardware e, attraverso una gestione centralizzata, consentono all’azienda di avere una ottima efficienza produttiva. Si tratta di uno strumento che, almeno in Italia, viene utilizzato da tantissime realtà che operano nel settore digitale: non soltanto afferenti alla pubblica amministrazione, alla sanità, alla ricerca accademica, ma anche al mondo dei media, della stampa, della comunicazione in generale.
Nel 2021, nel mese di febbraio, era stata osservata una vulnerabilità di sicurezza, che veniva descritta in questo modo: «Un gruppo malintenzionato, che risiede nello stesso segmento di rete di ESXi, che ha accesso al port 427 potrebbe essere in grado di attivare il problema di overflow dell’heap nel servizio OpenSLP con conseguente esecuzione di codice in modalità remota». Precedentemente alla patch individuata nel 2021, dunque, VMWare ESXi poteva prevedere l’inserimento di dati fino a una certa soglia. Ogni overflow (ovvero, ogni aggiunta ulteriore di dati rispetto alla soglia prevista) causava un errore nel software e questo errore portava a esporre la shell, ovvero la possibilità di controllare l’intero sistema.
Il problema, come si diceva, era stato risolto. Ma non tutte le aziende – come abbiamo avuto modo di osservare – hanno fatto in modo di aggiornare VMWare ESXi. E hanno letteralmente spalancato le porte alla possibilità, attraverso questo sistema, per gli hacker di controllare da remoto l’esecuzione del codice, decidendo arbitrariamente quello che si poteva fare con la grande quantità di dati presente: crittografare l’intero hard disk, copiarti dei dati, distruggere l’applicativo o altre azioni malevole. Le aziende interessate dall’attacco avevano tutte versioni di ESXi 7.x precedenti a ESXi70U1c-17325551, versioni 6.7.x precedenti a ESXi670-202102401-SG o versioni 6.5.x precedenti a ESXi650-202102101-SG.
Dopo aver esposto l’utilizzo che si fa di VMWare ESXi e la modalità con cui gli hacker hanno sfruttato le sue vulnerabilità, è bene chiarire che gli effetti su delle macchine virtuali possono avere anche una gittata molto lunga nel tempo e nello spazio e soltanto le opportune azioni, da parte delle aziende, di risposta alla crisi di sicurezza informatica potranno quantificarli. Certo è che, dal momento che ci troviamo di fronte a un problema derivato da un mancato aggiornamento di una patch, non c’è da sperare che le stesse aziende abbiano innescato degli efficaci piani di Disaster Recovery: è l’annoso problema della sicurezza informatica made in Italy (ma, in realtà, è un tratto comune a livello globale). Si sottovaluta fino a quando non si diventa vittime.