{"id":2298,"date":"2021-05-17T12:39:42","date_gmt":"2021-05-17T10:39:42","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2298"},"modified":"2021-05-17T12:39:42","modified_gmt":"2021-05-17T10:39:42","slug":"vendita-di-accessi-a-server-esxi-da-parte-di-access-broker","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/vendita-di-accessi-a-server-esxi-da-parte-di-access-broker\/","title":{"rendered":"Vendita di accessi a server di virtualizzazione aziendali"},"content":{"rendered":"\n

Nell ultime settimane sono stati identificati due gruppi criminali che svolgono il ruolo di Access Broker<\/em><\/strong> (rivendita di accessi alle infrastrutture), non affiliati a nessun gruppo specifico, che vendono accessi informatici a server ESXi di diverse aziende nel mondo.<\/p>\n

Sembrerebbe che i criminali abbiano sfruttato alcune vulnerabilit\u00e0 per ottenere accesso ai server esposti su rete pubblica.<\/span><\/p>\n\n\n\n

\n

Dettagli della vendita degli accessi<\/span><\/span><\/strong><\/h2>\n<\/div><\/div>\n\n\n\n

Ultime Attivit\u00e0 Note<\/h2>\n\n\n\n

Nell’ultimo trimestre del 2020 sono state scoperte alcune offerte di accessi a server compromessi tramite vulnerabilit\u00e0 dei server VMWare vCenter ed ESXi. In alcune offerte non viene menzionato il livello di privilegi dell’accesso, ma vengono date alcune specifiche sul server, come la tipologia del server (ad esempio ESX ROOT access) e informazioni sull’hardware, come RAM, CPU e Storage; tali informazioni possono essere utili agli acquirenti per capire che tipo di attivit\u00e0 possono essere svolte (ad esempio, crypto mining).<\/p>\n\n\n\n

\"\"
Vendita di accessi a Server compromessi <\/figcaption><\/figure>\n\n\n\n

In questi casi viene specificato il tipo di asset ma non il tipo di accesso, spesso fornito attraverso protocollo RDP, VPN o altri<\/strong>.<\/p>\n\n\n\n

Access Broker Coinvolti<\/h2>\n\n\n\n

Gli access Broker osservati negli annunci dei mesi precedenti che affermavano di aver avuto accesso alle infrastrutture attraverso vulnerabilit\u00e0 legate ai prodotti software di VMWare sono stati identificati con gli username drumrlu <\/strong>e 3lv4n<\/strong>.<\/p>\n

Gli annunci recenti sono stati pubblicati molto probabilmente dagli stessi criminali osservati nei mesi passati.<\/p>\n\n\n\n

Stato Attuale delle compravendite<\/h2>\n\n\n\n

Al momento, sempre pi\u00f9 offerte nei black market avvengono tramite conversazioni private piuttosto che in annunci pubblici. Questo fa si che gli stessi possano essere consultati solo da utenti “fidati” al venditore, in modo da evitare interruzioni da parte di ricercatori di sicurezza che riportano i loro ritrovamenti relativi alle reti compromesse.<\/p>\n\n\n\n

Le vulnerabilit\u00e0 sfruttate<\/h2>\n\n\n\n

CVE-2021-21972 – vSphere Client (HTML5)<\/h5>\n\n\n\n

Questa vulnerabilit\u00e0 permette l’esecuzione di codice arbitrario con privilegi illimitati sul sistema operativo che ospita il server vCenter a chiunque abbia accesso alla porta 443. Le versioni vulnerabili del server sono:<\/p>\n\n\n\n

  • VMware vCenter Server
    • 7.x precedenti a 7.0 U1c<\/li>
    • 6.7 precedenti a 6.7 U3l <\/li>
    • 6.5 precedenti a 6.5 U3n<\/li><\/ul><\/li>
    • VMware Cloud Foundation
      • 4.x precedenti a 4.2 <\/li>
      • 3.x precedenti a 3.10.1.2<\/li><\/ul><\/li><\/ul>\n\n\n\n
        CVE-2020-3992 – OpenSLP<\/h5>\n\n\n\n

        Questa vulnerabilit\u00e0 permette ad un attaccante avente accesso alla porta 427 su una macchina ESXi di eseguire codice remoto attraverso attraverso la tecnica di use-after-free sul servizio OpenSLP. Le versioni vulnerabili di ESXi sono:<\/p>\n\n\n\n

        • 7.0 precedente a ESXi_7.0.1-0.0.16850804<\/li>
        • 6.7 precedente a ESXi670-202010401-SG<\/li>
        • 6.5 precedente a ESXi650-202010401-SG<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"

          Ultime Attivit\u00e0 Note Access Broker Coinvolti Stato Attuale delle compravendite Le vulnerabilit\u00e0 sfruttate CVE-2021-21972 – vSphere Client (HTML5) Questa vulnerabilit\u00e0 permette l’esecuzione di codice arbitrario con privilegi illimitati sul sistema operativo che ospita il server vCenter a chiunque abbia accesso alla porta 443. Le versioni vulnerabili del server sono: VMware vCenter Server 7.x precedenti a […]<\/p>\n","protected":false},"author":1,"featured_media":2615,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[19,129,130,255,378,381],"class_list":["post-2298","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-access-broker","tag-esx","tag-esxi","tag-openslp","tag-vmware","tag-vsphere"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2298","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2298"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2298\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}