CVE-2021-21974: un'analisi tecnica dettagliata della vulnerabilità

Immaginate un nemico invisibile, capace di infiltrarsi nei sistemi, rubare i dati più preziosi e magari persino prendere il controllo delle operazioni, il tutto senza che tu te ne accorga. Un’ombra che potrebbe rovinare la tua organizzazione da un momento all’altro.
Oggi, ci immergeremo nel cuore oscuro di una di queste minacce, l’insidiosa CVE-2021-21974, per capire come funziona, quali sono i suoi potenziali danni e come possiamo difenderci.
Esploreremo uno dei lati più complessi della sicurezza informatica, analizzando una particolare vulnerabilità che ha avuto un impatto significativo sul panorama cybersecurity: la CVE-2021-21974.

Panoramica CVE-2021-21974

La CVE-2021-21974 è una vulnerabilità di esecuzione remota del codice (Remote Code Execution o RCE) identificata in una componente essenziale di molte infrastrutture IT. Questa vulnerabilità può consentire ad un attaccante di bypassare i controlli di sicurezza e di eseguire codice arbitrario sul sistema compromesso.
Nel 2023 le community di analisti cybersec rilevano una massiva attività di sfruttamento della CVE, in particolare, lo sfruttamento di quest’ultima da parte di un ransomware. Il pericolo è tangibile, l’impatto è elevato e la nostra attenzione è più che mai necessaria.

CVE-2021-21974 e i suoi pericoli

La CVE-2021-21974 riguarda una vulnerabilità di tipo “heap buffer overflow” associata alla componente OpenSLP dei prodotti VMware ESXi e Cloud Foundation. Questa vulnerabilità ha un punteggio CVSS v3 di 8.8, indicando un livello di rischio alto. Se sfruttata, può consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target, aprendo la porta a potenziali attacchi devastanti.

Come avviene lo sfruttamento della vulnerabilità

Recentemente, alcune società cybersecurity hanno rilasciato un avviso riguardo a una campagna in cui si osserva lo sfruttamento massivo di questa vulnerabilità, spesso in combinazione con il rilascio di un attacco ransomware. Questa campagna mira a vari soggetti, compresi gli enti governativi e i fornitori di servizi. Gli attacchi basati su questa vulnerabilità sfruttano una falla nel sistema di autenticazione.

La CVE-2021-21974 è stata sfruttata in un attacco di ransomware denominato ESXiArgs.
L’attacco mira a server VMware ESXi non protetti e non aggiornati in tutto il mondo. Ci teniamo a sottolineare che la vulnerabilità è stata corretta da VMware quasi due anni fa, ma il codice proof-of-concept (PoC) e i dettagli tecnici sono stati resi pubblici un paio di mesi dopo l’annuncio delle patch.

Prodotti e versioni colpiti

La CVE-2021-21974 riguarda prettamente i server VMware ESXi.
Questa vulnerabilità consente l’esecuzione remota di codice da parte di un attaccante sulla porta 427 utilizzata dal Protocollo di Localizzazione del Servizio (SLP) utilizzato da diverse versioni di VMware ESXI. Questa vulnerabilità può essere corretta con la patch rilasciata da VMware quasi due anni fa.

Mitigazione della CVE-2021-21974

Per contrastare efficacemente la vulnerabilità CVE-2021-21974, VMware consiglia di implementare gli aggiornamenti dettagliati nel loro bollettino VMSA-2021-0002.

In aggiunta a ciò, l’azienda fornisce una serie di soluzioni temporanee (‘Workaround’) per affrontare questa vulnerabilità. Queste soluzioni alternative possono essere utili se, per qualsiasi ragione, l’applicazione delle patch di aggiornamento non fosse immediatamente realizzabile.

Riguardo alle misure preventive, gli amministratori di sistema dovrebbero assicurarsi di proteggere i server ESXi non patchati con l’uso di firewall, in modo da evitare l’esposizione di porte potenzialmente pericolose.

Un’ultima, ma non meno importante raccomandazione, riguarda l’implementazione di una solida strategia di backup per le macchine virtuali. In presenza di un attacco sfruttando la CVE-2021-21974, un backup recente e affidabile rappresenta l’unico metodo per un recupero completo.

Alcune considerazioni finali

In un contesto digitale sempre più interconnesso e dinamico, la gestione delle vulnerabilità come la CVE-2021-21974 è diventata un aspetto fondamentale della sicurezza informatica. Anche se questa vulnerabilità specifica è stata scoperta e corretta quasi due anni fa, la sua recente riemersione mette in evidenza la persistenza e l’adattabilità degli attori malevoli. La prevenzione e il monitoraggio costante sono dunque strumenti essenziali per tenere al sicuro le nostre reti: in questo caso i servizi di Vulnerability Assessment svolgono un ruolo chiave.

La CVE-2021-21974 ci ricorda che nessuna soluzione di sicurezza è eterna.
Le minacce evolvono, così come le tecniche di attacco. È nostro compito, come professionisti IT, rimanere vigili e aggiornati su tutte le possibili minacce, pronti a rispondere in modo efficace.

La lezione più importante da trarre da questa situazione è l’importanza delle misure preventive tra cui:

aggiornamento tempestivo dei software
l’uso di firewall
la limitazione dell’accesso a indirizzi IP di fiducia

sono tutte misure fondamentali che possono fare la differenza tra un sistema sicuro e uno vulnerabile. Non sottovalutate mai l’importanza della prevenzione; una buona difesa è sempre il miglior attacco.

Autore articolo
Gli ultimi articoli

Maurizio Funnone

Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.

Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.

Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.

A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.

Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.