Arrivano segnalazioni di una esplosione di compromissioni degli hypervisor VMware ESXi con oltre 500 macchine colpite dal ransomware questo fine settimana, con gli attacchi che sfruttano la CVE-2021-21974.

Come pubblicato da The Stack, circa 20 macchine ESXi venivano colpite ogni ora, utilizzando i dati messi a disposizione da Shodan che mostravano che la maggior di queste macchine era ospitata da OVHcloud. Ma il raggio d’azione si sta espandendo rapidamente.

I clienti francesi sembravano inizialmente essere quelli più colpiti e il CERT-FR del paese è stato tra i primi a pubblicare un avviso.

Gli attacchi potrebbero prendere di mira istanze prive di patch ed esposte a Internet utilizzando la CVE-2021–21974, un HeapOverflow su VMware ESXi OpenSLP che porta ad una remote code execution (RCE), ha affermato CERT-FR.

Sebbene l’avviso iniziale di VMware sia del 2021 e riguardava ESXi 7.0, 6.7 e 6.5, gli attacchi ora sembrano colpire anche le versioni di build precedenti.

Gli amministratori devono quindi garantire che i server ESXi in gestione e senza patch siano protetti da opportune regole firewall, senza esporre porte su internet.

La precedente mitigazione di VMware per la vulnerabilità ha invitato gli utenti a 

  • 1: accedere agli host ESXi utilizzando una sessione SSH (come putty); 
  • 2: Arrestare il servizio SLP sull’host ESXi con questo comando: /etc/init.d/slpd stop (nb Il servizio SLP può essere interrotto solo quando il servizio non è in uso; gli utenti possono controllare lo stato operativo del demone SLP: esxcli system slp stats get 
  • 3: eseguire questo comando per disabilitare il servizio: esxcli network firewall ruleset set -r CIMSLP -e 0

OVHcloud ha dichiarato il 3 febbraio: “Un’ondata di attacchi sta attualmente prendendo di mira i server ESXi. Tuttavia, nessun servizio gestito da OVHcloud è interessato da questo attacco, poiché molti clienti utilizzano questo sistema operativo sui propri server, forniamo questo post come riferimento a supporto per aiutarli nella loro risoluzione”.

Fonte RCH

ACTAINFO PNRR

AGID_Marketplace.png Misura 1.4.1: SPORTELLO DIGITALE e SITI WEB per Servizi digitali Pacchetto Cittadino Informato e Cittadino Attivo.
Misura 1.2: Migrazione servizi in CLOUD.
Misura 1.4.3: PagoPA, App IO.
Misura 1.4.4: SPID, CIE

 

 

Actaprivacy software cloud saas qualificato da AGID per l'adempimento del GDPR

AGID_Marketplace.png Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679.

 

 

ActaFad - Elearning Corso Whistleblowing per la segnalazione degli illeciti

Corso di formazione per l’attuazione degli obblighi formativi in materia di whistleblowing - segnalazione degli illeciti - richiesti dalla Delibera ANAC n. 311 del 12 luglio 2023

 

 

Leggi anche

Nuovo avviso 1.2 PNRR “Abilitazione al Cloud per le PA Locali” – Comuni settembre 2024

PA digitale 2026 ha pubblicato un nuovo Avviso 1.2 PNRR per favorire la migrazione in cloud dei Comuni. L’Avviso, con uno stanziamento di 30 milioni, rimarrà aperto dal 13 settembre fino ad esaurimento delle risorse disponibili, e comunque non oltre il 6 dicembre 2024. Le candidature presentate dalle PA sono sottoposte – sulla base dell’ordine […]

Asseverazione PNRR 1.4.1 positiva del Comune di Valle Castellana

Asseverato PNRR

Il Comune di Valle Castellana, in Provincia di Teramo, ha superato i controlli di conformità tecnica  previsti dall’avviso 1.4.1 del PNRR eseguiti dall’asseveratore, incaricato dal Dipartimento per la trasformazione digitale della Presidenza del Consiglio, sul progetto “Sito web e Servizi digitali“ realizzato da Actainfo. L’asseverazione del progetto digitale dell’ “Esperienza del cittadino” ha avuto esito positivo e ha autorizzato […]

Inviata dichiarazione di accessibilità elaborata su RTDTEAM

Scade il 23 settembre la Dichiarazione di accessibilità annuale obbligatoria dei siti e applicativi web.