Vulnérabilités VMware vCenter : les attaques sont probablement imminentes

VMware a publié une série de correctifs visant à remédier à plusieurs vulnérabilités affectant les versions 6.5, 6.7 et 7.0 de vCenter Server. Ces correctifs doivent être appliqués immédiatement, car les conséquences potentielles pour les utilisateurs sont sérieuses, alors que les cybercriminels sont ouvertement à l’affût.

Les correctifs traitent un total de 19 vulnérabilités dont la plus grave semble être la CVE-2021-22005, à laquelle a été attribué un score CVSSv3 critique de 9,8. Un assaillant ayant un accès réseau au port 443 de vCenter Server pourrait exploiter cette vulnérabilité pour exécuter du code sur vCenter Server en téléchargeant un fichier spécialement conçu. À noter que cette vulnérabilité n’est pas présente dans la version 6.5.

Les autres vulnérabilités affichent des scores CVSSv3 de 8 et plus. Là, on trouve la CVE-2021-21991, qui permet d’élever les privilèges locaux, la CVE-2021-22006, qui permet de contourner un proxy inverse, et la CVE-2021-22011, qui permet d’accéder aux API sans authentification. Ces vulnérabilités ont été découvertes et divulguées à VMware par George Noseevich et Sergey Gerasimov de SolidLab, et Hynek Petrak de Schneider Electric.

« Ces mises à jour corrigent une vulnérabilité de sécurité critique, et votre réponse doit être envisagée immédiatement », explique Bob Plankers de VMware, dans un billet de blog à l’intention de ses clients.

Pour lui, « les organisations qui pratiquent la gestion du changement en utilisant les définitions ITIL considéreraient cela comme un “changement d’urgence”. Tous les environnements sont différents, ont une tolérance au risque différente, et disposent de différents contrôles de sécurité et d’une défense en profondeur pour atténuer le risque ; donc la décision sur la façon de procéder vous appartient. Cependant, étant donné la gravité de la situation, nous vous recommandons vivement d’agir ».

Certaines des autres vulnérabilités ayant obtenu des scores plus faibles pourraient néanmoins être utiles à un attaquant ayant déjà obtenu l’accès au réseau d’une organisation et ne doivent pas être négligées. Les informations relatives à l’ensemble de ces vulnérabilités ont été consolidées ici par VMware.

Pour Jake Moore, d’ESET, « comme les acteurs malicieux améliorent leur vitesse de réaction aux vulnérabilités, il est fortement conseillé d’agir rapidement en appliquant les correctifs avant qu’il ne soit trop tard. Bien qu’aucun rapport actuel ne fasse état d’une quelconque exploitation, la situation peut changer à tout moment lorsque des adversaires très sophistiqués cherchent à tirer parti de vulnérabilités non corrigées. En outre, pour une protection supplémentaire, tout accès réseau à une infrastructure critique ne devrait idéalement survenir que via un VPN ».

Selon Bad Packets, toutefois, les opérations de recherche de serveurs vulnérables ont commencé et sont observables sur Internet. Un démonstrateur d’exploitation de la vulnérabilité CVE-2021-22005 est d’ailleurs disponible. Il ne faudra probablement pas longtemps avant qu’il soit transformé en outil offensif effectif.