VMware corrige d’importantes vulnérabilités

La compétition Pwn2Own, organisée dans le cadre de la conférence CanSecWest, mi-mars, a été l’occasion de la divulgation d’une vulnérabilité affectant VMware Workstation et permettant, de l’intérieur d’une machine virtuelle, de compromettre l’hôte sur lequel elle s’exécute. En fait, celle-ci concerne toutes les plateformes de virtualisation de VMware, incluant donc ESXi et Fusion, pour macOS. Mais aucun code de démonstration de son exploitation ne semble exister pour ces deux derniers, selon VMware. En outre, l’éditeur explique « ne pas être au courant d’exploitation active » de la vulnérabilité et remercie les organisateurs et les participants de la compétition : grâce à eux, VMware peut entamer la distribution de correctifs avant que les détails de la vulnérabilité ne soient effectivement rendus publics. 

L’éditeur publie donc aujourd’hui les correctifs nécessaires, pour Fusion, Workstation, et ESXi 5.5, 6.0 et 6.5. Sans surprise, il en recommande l’application au plus vite, en s’appuyant sur vMotion et VUM si besoin pour limiter les interruptions de services. Mais l’éditeur précise que l’exploitation de la vulnérabilité nécessite, pour l’attaquant, d’être déjà en mesure d’exécuter à distance du code au sein d’une machine virtuelle. Ce contre quoi des dispositions préventives classiques peuvent protéger. Surtout, « des environnements verrouillés comme une base de données de production devraient déjà interdire l’exécution de code arbitraire ». Certes, mais l’expérience récente de prise en otage d’instances MongoDB ou encore ElasticSearch a montré l’écart entre pratiques de référence et réalité.  

Plus loin, VMware souligne la qualité de ses relations avec les chercheurs impliqués régulièrement dans la découverte de vulnérabilités affectant ses solutions de virtualisation, que ce soit Qihoo 360 ou Tencent. Et de saluer les bénéfices qu’il en retire pour les sécuriser, d’autant plus qu’une sortie de machine virtuelle, permettant de compromettre l’hôte, « est la pire catégorie de bug pour un logiciel de virtualisation ». Et de recommander « une chaîne de défenses robuste » intégrant « pare-feu et IDS pour contrôler l’accès aux machines virtuelles », mais également anti-virus et système de détection d’intrusion sur hôte « pour bloquer l’exécution de logiciel malveillant sur une machine virtuelle ». Car en définitive, pour VMware, la question n’est pas de savoir « si » mais « quand une vulnérabilité de sécurité va survenir ».