Nell ultime settimane sono stati identificati due gruppi criminali che svolgono il ruolo di Access Broker (rivendita di accessi alle infrastrutture), non affiliati a nessun gruppo specifico, che vendono accessi informatici a server ESXi di diverse aziende nel mondo.

Sembrerebbe che i criminali abbiano sfruttato alcune vulnerabilità per ottenere accesso ai server esposti su rete pubblica.

Dettagli della vendita degli accessi

Ultime Attività Note

Nell’ultimo trimestre del 2020 sono state scoperte alcune offerte di accessi a server compromessi tramite vulnerabilità dei server VMWare vCenter ed ESXi. In alcune offerte non viene menzionato il livello di privilegi dell’accesso, ma vengono date alcune specifiche sul server, come la tipologia del server (ad esempio ESX ROOT access) e informazioni sull’hardware, come RAM, CPU e Storage; tali informazioni possono essere utili agli acquirenti per capire che tipo di attività possono essere svolte (ad esempio, crypto mining).

Vendita di accessi a Server compromessi

In questi casi viene specificato il tipo di asset ma non il tipo di accesso, spesso fornito attraverso protocollo RDP, VPN o altri.

Access Broker Coinvolti

Gli access Broker osservati negli annunci dei mesi precedenti che affermavano di aver avuto accesso alle infrastrutture attraverso vulnerabilità legate ai prodotti software di VMWare sono stati identificati con gli username drumrlu e 3lv4n.

Gli annunci recenti sono stati pubblicati molto probabilmente dagli stessi criminali osservati nei mesi passati.

Stato Attuale delle compravendite

Al momento, sempre più offerte nei black market avvengono tramite conversazioni private piuttosto che in annunci pubblici. Questo fa si che gli stessi possano essere consultati solo da utenti “fidati” al venditore, in modo da evitare interruzioni da parte di ricercatori di sicurezza che riportano i loro ritrovamenti relativi alle reti compromesse.

Le vulnerabilità sfruttate

CVE-2021-21972 – vSphere Client (HTML5)

Questa vulnerabilità permette l’esecuzione di codice arbitrario con privilegi illimitati sul sistema operativo che ospita il server vCenter a chiunque abbia accesso alla porta 443. Le versioni vulnerabili del server sono:

  • VMware vCenter Server
    • 7.x precedenti a 7.0 U1c
    • 6.7 precedenti a 6.7 U3l
    • 6.5 precedenti a 6.5 U3n
  • VMware Cloud Foundation
    • 4.x precedenti a 4.2
    • 3.x precedenti a 3.10.1.2
CVE-2020-3992 – OpenSLP

Questa vulnerabilità permette ad un attaccante avente accesso alla porta 427 su una macchina ESXi di eseguire codice remoto attraverso attraverso la tecnica di use-after-free sul servizio OpenSLP. Le versioni vulnerabili di ESXi sono:

  • 7.0 precedente a ESXi_7.0.1-0.0.16850804
  • 6.7 precedente a ESXi670-202010401-SG
  • 6.5 precedente a ESXi650-202010401-SG