Une vulnérabilité critique dans vSphere Data Protection

L’annonce aurait presque pu passer inaperçue dans le tumulte provoqué par la révélation de Meltdown et de Spectre : le 2 janvier, VMware a fait état d’une vulnérabilité critique dans vSphere Data Protection (VDP). Celle-ci permet de contourner les contrôles d’authentification pour obtenir des droits d’administration sur les systèmes concernés. Et cela n’a rien d’anodin : pour mémoire, VDP est la solution de VMware pour la sauvegarde et la restauration des environnements vSphere.

Les versions 5.x, 6.0.x et 6.1.x de VDP sont concernées. Pour les premières, la seule solution consiste à passer directement à VDP 6.0.7, comme pour les secondes. Pour les troisièmes, c’est vers la version 6.1.6 qu’il convient de mettre à jour.

C’est Digital Defense qui est à l’origine de la découverte de cette vulnérabilité. Dans un billet de blog, il souligne que son exploitation ne nécessite « aucune connaissance spécifique du serveur EMC Avamar visé » et prendre ainsi le contrôle sur toutes les sauvegardes gérées. Accessoirement, Shodan recense rien moins que 14 serveurs Avamar exposés sur Internet, en France, sur un total de 170 dans le monde.

Les trois nouvelles versions correctrices proposées par VMware couvrent également deux autres vulnérabilités. La première d’entre elles permet à des utilisateurs authentifiés de télécharger arbitrairement des fichiers avec les privilèges d’administration. La seconde permet à ce même type d’utilisateurs de déposer des fichiers, à l’emplacement de son choix, toujours avec des droits d’administrateur.