enterphoto - Fotolia
Alerte aux attaques par ransomware via les systèmes SonicWall en fin de vie
L’équipementier et l’agence américaine de la cybersécurité et de la sécurité des infrastructures appellent à déconnecter les systèmes concernés. Certains cybermécréants ont déjà commencé à les détourner.
Le danger est « imminent », selon SonicWall : ceux qui continueraient à utiliser ses équipements dont le firmware est en fin de vie, s’exposent à le voir détourné par des mécréants dans le but, notamment, de conduire des attaques impliquant un ransomware. Cela concerne les produits SMA série 100 et SRA fonctionnant avec un firmware 8.x. Les SRA 4600/1600 et 4200/1200, ainsi que les VPN SSL 200/2000/400, doivent être tout bonnement déconnectés et abandonnés. Pour les SMA 400/200, SonicWall conseille de mettre immédiatement à jour le firmware et d’activer l’authentification à facteurs multiples (MFA).
De son côté, l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) recommande chaudement de suivre les recommandations de SonicWall. Pour elle, le danger est plus qu’imminent : l’agence dit savoir que « des acteurs malveillants visent activement une vulnérabilité connue, précédemment corrigée, dans les produits SMA série 100 et SRA exécutant le firmware 8.x non patché et en fin de vie ». Bill Siegel, PDG de Coveware, s’inscrivait plus tôt sur la même ligne, suggérant, sur Twitter, de « remplacer “imminent” par en cours ».
CrowdStrike a déclaré à SearchSecurity attribuer les attaques en cours à « plusieurs acteurs » différents. Selon nos confrères de Bleeping Computer, il faut notamment compter avec HelloKitty. Celui-ci a notamment été utilisé dans l’attaque conduite en début d’année contre le studio CD Projekt Red. Ce rançongiciel fait notamment partie de ceux qui sont capables de s’attaquer aux systèmes Linux, et en particulier les hôtes ESXi.