Oltre 100.000 siti web persi, Vaserv.com offline per una vulnerabilità di HyperVM

Tutto e accaduto nella sera della scorsa Domenica, quando gli amministratori hanno notato un'attivita sospetta sulle macchine della compagnia, collocate in un data center londinese e uno americano. Da quel momento tutto e stato chiaro, qualcuno si era introdotto sui server del provider e aveva cancellato pian piano tutti i dati contenuti al loro interno. Questa la ricostruzione di The Register, che ha raggiunto Rus Foster, direttore di VAserv.com, una nota compagnia di hosting con sede in Inghilterra.

Tutto è accaduto nella sera della scorsa Domenica, quando gli amministratori hanno notato un’attività sospetta sulle macchine della compagnia, collocate in un data center londinese e uno americano. Da quel momento tutto è stato chiaro, qualcuno si era introdotto sui server del provider e aveva cancellato pian piano tutti i dati contenuti al loro interno. 

Questa la ricostruzione di The Register, che ha raggiunto Rus Foster, direttore di VAserv.com, una nota compagnia di hosting con sede in Inghilterra. Il danno è stato notevole, tanto da portare offline anche tutti i sistemi della compagnia: oltre 100.000 siti sono stati distrutti dall’attacco, compiuto guadagnando l’accesso root sulle macchine unix del provider e cancellando tutti i file sui server con un semplice comando “rm -rf”. L’accesso alle macchine, almeno al momento, sembra sia stato guadagnato a causa di una vulnerabilità di HyperVM, software per la gestione di ambienti virtuali, prodotto dalla società Lxlabs, la stessa società che commercializza il software LxAdmin, pannello di controllo per la gestione di ambienti hosting. 

Una volta avuto accesso alla console centrale del sistema, sembra che gli hackers abbiano provveduto ad accedere ad ogni nodo, avviando la cancellazione in simultanea su tutte le macchine. Da ricordare che si trattava per lo più di VPS lowcost con contratto unmanaged, sprovviste quindi di regolare backup effettuato dalla compagnia. Come detto, il tutto è imputabile ad una falla all’interno del sistema di Lxlabs, HyperVM infatti sembra avere gravi problemi di sicurezza, che la stessa Vaserv.com non è riuscita a risolvere e per il quale al momento non ha ricevuto supporto dall’azienda. 

Ma la vicenda si è spinta su toni ancora più tragici, nella giornata di ieri infatti, i giornali hanno comunicato il suicidio del fondatore e amministratore della società, K T Ligesh, trovato impiccato dalle autorità. Ligesh era a capo di Lxlabs, del progetto HyperVM, così come di Kloxo, il precedente Lxadmin. Non è chiaro se la causa sia imputabile unicamente a quanto accaduto nella vicenda di VAserv.com, ma sicuramente parte delle responsabilità è da imputare alla azienda e alle ultime vicende. Gli esperti di sicurezza hanno confermato la presenza di importanti bug all’interno del software Lxlabs, Lxadmin (Kloxo) e HyperVM. Al momento non si conosce il futuro della compagnia nè tanto meno come verrà affrontata la situazione inerentemente alla correzione delle falle. 

Diversi provider hanno già preso precauzioni disabilitando l’accesso al pannello HyperVM o muovendosi ad una rimozione dello stesso in favore di altri software: l’azienda ha annunciato da poco di aver fornito questa soluzione per oltre 30.000 ambienti virtuali, con 8000 installazioni di Lxadmin. 

Il consiglio per gli utenti italiani che siano in possesso di queste soluzioni è quello di effettuare un backup accurato dei propri dati, qualora questi non fossero tutelati da un contratto di gestione con il provider. A livello italiano sono quattro o cinque le compagnie che utilizzano il software HyperVM e Lxadmin per la gestione di spazi web e server virtuali, si consiglia a queste ultime di informare ovviamente gli utenti del pericolo, fino alla presenza di una patch risolutiva.