(Rome, Paris, 05.02.2023). Une attaque de pirate informatique utilisant des ransomwares déjà en circulation à ciblé les serveurs VMware ESXi. Des milliers de serveurs compromis. L’Europe et l’Amérique du Nord sont touchées
L’équipe italienne de réponse aux incidents de sécurité informatique de l’Agence nationale de la cyber-sécurité a détecté une attaque massive de pirates informatiques. Les techniciens de l’ACN ont déjà recensé «plusieurs dizaines de systèmes nationaux probablement compromis et alerté de nombreux services et entités dont les systèmes sont exposés mais pas encore compromis». L’attaque cible des «serveurs VMware ESXi», impliquant le monde entier et affectant «quelques milliers de serveurs compromis» dans le monde. Le pays le plus touché est actuellement la France mais les attaques ont atteint la Finlande et l’Amérique du Nord, impliquant le Canada et les États-Unis, nous explique Francesca Galici du quotidien italien «Il Giornale».
La vulnérabilité exploitée par les attaques a déjà été corrigée dans le passé par le constructeur mais l’ACN souligne que «tous ceux qui utilisent les systèmes actuellement touchés ne l’ont pas corrigés». Pour cette raison, les serveurs ciblés, s’ils ne disposent pas de correctifs appropriés, «peuvent permettre aux pirates de les exploiter dans les heures qui suivent la vague d’attaques enregistrées au cours du week-end». Les premiers à remarquer l’attaque ont été les Français, probablement en raison du grand nombre d’infections enregistrées sur les systèmes de certains fournisseurs du pays. Par la suite, la vague d’attaques s’est déplacée vers d’autres pays, dont l’Italie.
En ce qui concerne notre pays, sont très nombreux qui ont rencontré des activités malveillantes mais il n’est pas exclu qu’elles se multiplient dans les prochaines heures. L’attaque vise non seulement à créer la perturbation du moment mais, comme l’explique ACN, «permet à un stade ultérieur de mener des attaques de ransomware qui chiffrent les systèmes affectés les rendant inutilisables jusqu’à ce qu’une rançon soit payée pour obtenir la clé de déchiffrement ». Par ailleurs, dans sa note, l’Agence rappelle qu’«il est prioritaire pour tous de combler les failles identifiées et d’élaborer une stratégie de protection adéquate». Pour l’heure, la police du web exclut une attaque de pirates informatiques contre les réseaux et les infrastructures de TIM (Telecom Italia Mobile), qui connaissent des problèmes de connexion. Mais les agents sont en contact permanent avec le personnel informatique et de sécurité de TIM.
La vulnérabilité identifiée par des analyses récentes comme CVE-2021-21974 (déjà corrigée par l’éditeur en février 2021), concerne des systèmes exposés sur internet qui proposent des services de virtualisation basés sur le produit VMWare ESXi, et a un impact élevé, estimé par la communauté technique comme étant «à risque élevé/orange» (70,25/100). Mais il ne peut être exclu que d’autres vulnérabilités non encore connues puissent être exploitées.