Luxxotica, fabricant et distributeur mondial de lunettes - comptant Ray Ban, Armani et Chanel dans son portefeuille de marques - est la nouvelle victime au sombre tableau de chasse des rançonneurs du web. Quelques mois après Essilor, qui l'avait racheté en 2018, la société italienne employant 80 000 personnes dans le monde pour près de 9 milliards d'euros, a essuyé une cyberattaque par ransomware. Ce vendredi, les sites de plusieurs de ses marques sont tombés, avant de voir courir dans la presse italienne des articles faisant état d'une panne système globale ayant contraint le groupe a renvoyé travailler chez eux de nombreux employés.
Dans un billet sur Linkedin, le RSSI de Luxxotica, Nicola Vanin, a fini par lâcher le morceau en confirmant que l'entreprise avait bien été attaquée par un ransomware. « Il n'y a actuellement aucun accès ou vol d'informations aux utilisateurs et aux consommateurs », a précisé Nicola Vanin. Les cyberpirates sont, d'après Bad Packets, parvenus à leur fin en exploitant une vulnérabilité critique CVE-2019-19781 permettant d'exécuter du code à distance (RCE) affectant le contrôleur de mise à disposition d'applications ADC de Citrix. Si cela est le cas, on peut se poser la question de la réactivité des équipes IT a appliquer un patch aussi critique, disponible depuis 9 mois.
Une vulnérabilité dangereuse
« Les vulnérabilités RCE sont parmi les plus dangereuses et peuvent permettre à un attaquant d'exécuter le code de son choix sur la machine ciblée - comme le téléchargement et l'exécution de ransomwares. Les organisations doivent s'assurer qu'un système de gestion des correctifs robuste est en place - en particulier pour leurs infrastructures publiques », a expliqué Michael Barragry, responsable des opérations chez Edgescan.