Une vague d'attaques par ransomware cible les failles du logiciel VMware ESXi
Des milliers des machines ont été touchées par un ransomware s'en prenant au logiciel VMware ESXi, aussi bien en France qu’outre-Atlantique. La faille était pourtant connue depuis deux ans, mais toutes les mises à jour n’avaient pas été faites.
C’est le CERT-FR, dépendant de l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui a le premier tiré la sonnette d’alarme dès vendredi 3 février. Des campagnes d’attaque ciblant l'hyperviseur VMware ESXi (un logiciel permettant de créer et exécuter des machines virtuelles) ont été détectées en Europe (France, Italie, Royaume-Uni, Allemagne) mais aussi aux Etats-Unis et au Canada.
"Ces campagnes d'attaque semblent avoir tiré parti de l'exposition d'hyperviseurs ESXi qui n'auraient pas été mis à jour des correctifs de sécurité suffisamment rapidement. En particulier, le service SLP semble avoir été visé”, écrit l’Anssi.
Une faille déjà corrigée depuis deux ans
La faille de ce logiciel avait été identifiée dès février 2021, et son éditeur, VMware, avait mis à la disposition des clients concernés un patch de sécurité. "Le non-respect de l'hygiène numérique de base, y compris de la part d'administrateurs informatiques, reste la première cause des incidents de sécurité", souligne Alain Bouillé, délégué général du Club des experts de la sécurité de l'information et du numérique, interviewé par Le Figaro.
L’attaque, sous la forme d’un rançongiciel, rend inaccessible des jeux de données que les pirates se proposent de débloquer contre un paiement en bitcoin – souvent autour de 2 bitcoins, soit 42 000 au cours actuel, rapporte Le Dauphiné libéré. La campagne serait été menée au hasard, sans ciblage particulier, d’après les premiers retours. Elle frappe particulièrement par son ampleur, puisque plus de 2 000 machines auraient été visées, dont un tiers en France.
Isolez le système et réinstallez le logiciel, explique le CERT
En théorie, une simple mise à jour de sa machine permet de corriger la faille, mais le CERT conseille de ne pas s’en tenir là. L’organisme recommande d’isoler le serveur affecté, d’effectuer une analyse des systèmes, de privilégier "une réinstallation de l’hyperviseur dans une version supportée par l’éditeur”, de désactiver tous les services inutiles dessus et de "bloquer l’accès aux différents services d’administration”, par un pare-feu dédié.
SUR LE MÊME SUJET
Une vague d'attaques par ransomware cible les failles du logiciel VMware ESXi
Tous les champs sont obligatoires
0Commentaire
Réagir
