Categorie
Notizie

Macchine Virtuali: aggiornare subito VMWare. Cosa fare

Tempo di lettura: 4 minuti. Attenzione al software più utilizzato nelle reti mondiali

Tempo di lettura: 4 minuti.

Il colosso della virtualizzazione VMWare ha pubblicato un avviso di sicurezza che descrive due falle appena corrette nei suoi prodotti.

La virtualizzazione in generale, e la serie di prodotti VMWare, è ampiamente utilizzata per trasformare singoli computer fisici in diversi “computer virtuali” che condividono lo stesso hardware fisico.

Cosa sono le macchine virtuali

Questi computer virtuali, noti in gergo come VM (acronimo di virtual machine), fingono realisticamente di essere computer indipendenti a sé stanti, ognuno dei quali avvia ed esegue un proprio sistema operativo, come farebbe un computer fisico.

Ciò significa che un server fisico, situato in una sala server in loco o in un centro dati cloud, può essere suddiviso in modo flessibile tra più utenti diversi, che potrebbero provenire da reparti diversi di una stessa organizzazione o addirittura da aziende diverse.

Ogni utente ha accesso a quello che sembra, si sente e funziona come un computer tutto suo, con un sistema operativo e uno stack di applicazioni di sua scelta.

Ogni macchina virtuale, nota in gergo come guest, ha i propri dischi rigidi virtuali, memorizzati come normali file sul server fisico, noto come host.

Ciò significa che è possibile non solo suddividere un array di dischi fisici in una serie di dischi guest di dimensioni diverse, per soddisfare le diverse esigenze dei vari utenti guest, ma anche eseguire facilmente lo snapshot e l’archiviazione di intere macchine virtuali copiando i file dei loro dischi virtuali.

È anche possibile clonare una macchina virtuale esistente e migrare i file che ne conservano il contenuto su un altro server fisico, per adattarsi rapidamente all’aumento della domanda di servizio o per riprendersi da interruzioni regionali.

Rischi delle Macchine Virtuali

Come si può immaginare, tuttavia, questa flessibilità comporta alcuni rischi e sfide significative.

In primo luogo, il software di virtualizzazione deve impedire alle macchine virtuali guest sullo stesso computer fisico di interferire tra loro (o, peggio, di interferire con il sistema operativo host stesso), dato che tutte condividono e competono per la stessa RAM fisica e le stesse periferiche.

In secondo luogo, dato che alcune reti possono avere decine di migliaia di macchine virtuali o più in esecuzione nei data center di tutto il mondo in qualsiasi momento, il software di controllo che gestisce questo oceano di macchine virtuali deve essere particolarmente resistente agli attacchi.

I criminali del ransomware, in particolare, amano accedere ai pannelli di controllo delle macchine virtuali, non da ultimo perché:

  • Se riescono a iniettare il loro malware in migliaia di macchine virtuali in una sola volta, possono distruggere tutte le vostre macchine virtuali “dall’interno” allo stesso tempo, possibilmente con un solo clic da una console centrale.
  • Se riescono a bloccare simultaneamente tutte le macchine virtuali su un server fisico, i file dei dischi virtuali delle macchine virtuali nel sistema operativo host non saranno più bloccati per l’uso da parte del software di virtualizzazione, quindi qualsiasi ransomware lanciato sull’host semplicemente distruggerà i dischi virtuali insieme a tutto il resto.


In effetti, quando nel 2020 la famigerata banda criminale del ransomware REvil ha messo in palio 1.000.000 di dollari in Bitcoin per attirare nuovi “affiliati” all’hacking di rete, la conoscenza di Hyper-V (il software di virtualizzazione di Microsoft) era esplicitamente elencata tra le “esperienze e competenze” necessarie.

Altre competenze necessarie per un “lavoro” con REvil, nel caso ve lo stiate chiedendo, includono l’esperienza con dispositivi di backup come NAS e nastri, che rappresentano un’altra parte dell’infrastruttura di rete che i criminali del ransomware amano attaccare prima di lanciare il loro epilogo di distruzione dei file. Con le macchine virtuali interrotte insieme a tutti i computer normali, gli aggressori mirano ad aumentare il grado di deragliamento dell’azienda.

Con i backup interrotti, gli aggressori di ransomware mirano a ridurre la vostra capacità di recupero da soli, in modo da potervi spremere più duramente con le loro richieste di ricatto per decriptare i vostri file criptati.

Gli ultimi bug risolti

Gli ultimi aggiornamenti di VMware chiudono due vulnerabilità di sicurezza negli strumenti di controllo e gestione delle macchine virtuali forniti dall’azienda:

  • CVE-2022-22972. Bypass dell’autenticazione. Prodotti interessati: VMware Workspace ONE Access, Identity Manager e vRealize Automation.
    Un criminale informatico che avesse già un punto d’appoggio nella vostra rete, anche se fosse solo un utente regolare con diritti di sicurezza limitati, potrebbe avviare e accedere agli strumenti di gestione di cui sopra come utente amministrativo. Anche se questo non darebbe all’aggressore l’equivalenza di sysadmin sulla rete fisica, potrebbe metterlo immediatamente a capo dell’intero parco di server virtuali.
  • CVE-2022-22973. Elevazione dei privilegi (EoP). Prodotti interessati: VMware Workspace ONE Access e Identity Manager.
    Mentre il primo bug significa che un invasore potrebbe salire di livello fino ai vostri sysadmin all’interno degli strumenti di gestione delle macchine virtuali, questo bug significa che l’invasore potrebbe abusare degli strumenti delle macchine virtuali per salire di livello fino ai vostri sysadmin sul computer in cui si trova.

Ironia della sorte, quindi, queste falle di sicurezza di VMware potrebbero essere combinate per dare un vantaggio a un intruso.

Cosa dice il governo

Si noti che nessuno di questi bug può essere sfruttato dall’esterno della rete per la cosiddetta RCE, acronimo di remote code execution.

Come suggerisce il nome, i bug RCE sono particolarmente pericolosi perché spesso forniscono ai criminali un modo per iniettare malware nella rete, come punto di partenza per un’intrusione.

Tuttavia, il governo degli Stati Uniti ritiene che CVE-2022-22972 e CVE-2022-22973 siano sufficientemente gravi, dato il loro potenziale di abuso, da aver emanato la Direttiva di emergenza 22-03: Mitigate VMware Vulnerabilities“.

Questo documento non si limita a parlare dei rischi, come abbiamo fatto sopra, o a consigliare alle agenzie governative di darsi da fare con le patch.

Cosa fare per risolvere il problema

Queste sono le istruzioni molto semplici ma senza compromessi:

  • Individuate tutte le copie non patchate di tutti i prodotti interessati presenti nella vostra rete;
  • se possibile, patchatele senza indugio, oppure
  • RIMUOVERE subito dalla rete se non è possibile applicare la patch, e farlo
  • ORA (scadenza 2022-05-23T20:59Z, cioè prima delle 17:00 EDT/2:00 PDT di lunedì).


Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro la pedopornografia online, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version