VMware vCenter : des correctifs à appliquer de toute urgence

VMware a publié cette semaine des correctifs pour quatre vulnérabilités affectant ESXi, Cloud Foundation et le serveur vCenter. Celle qui affecte ce dernier, des versions 6.5 à 7.0, référencée CVE-2021-21972, présente un potentiel dévastateur, permettant à un attaquant non authentifié d’exécuter des commandes à distance sur un système concerné, avec des privilèges illimités sur le système d’exploitation hôte.

Sans surprise, Bad Packets rapporte avoir commencé à observer, hier 24 février, des balayages à la recherche de systèmes vulnérables. Il faut dire que deux démonstrateurs d’exploitation de la vulnérabilité CVE-2021-21972 sont désormais disponibles, dont un directement sur Github. Selon Satnam Narang, ingénieur de recherche chez Tenable, il faut en fait compter sur quatre démonstrateurs. Accessoirement, l’exploitation de la vulnérabilité s’avère relativement simple : une seule requête HTTP suffit.

En outre, ce type de vulnérabilité constitue une nouvelle opportunité considérable pour les cyberdélinquants de tout bord, à commencer par les opérateurs de ransomware. Satnam Narang relève ainsi que la plupart des attaquants « se contentent de tirer parti de ce qui est disponible publiquement ».

Et les données du moteur de recherche spécialisé Shodan ne sont guère encourageantes. Selon celles-ci, on compte près 6 800 systèmes vCenter exposés directement sur Internet à travers le monde, dont plus de 400 rien qu’en France.