A patcher immédiatement: VMware avertit d’un bug critique dans l’exécution de code à distance dans vCenter

Si un attaquant atteint le port 443, il pourrait exécuter n’importe quel code sur le système d’exploitation hôte grâce à une vulnérabilité dans vCenter.

VMware exhorte ses utilisateurs de vCenter à mettre à jour les versions 6.5, 6.7 et 7.0 de vCenter Server immédiatement, après qu’une paire de vulnérabilités ait été signalée en privé à l’entreprise

Le plus urgent est CVE-2021-21985, qui concerne une vulnérabilité d’exécution de code à distance dans un plugin vSAN activé par défaut dans vCenter qu’un attaquant pourrait utiliser pour exécuter ce qu’il souhaite sur la machine hôte sous-jacente, à condition qu’il puisse accéder au port 443.

Même si les utilisateurs n’utilisent pas vSAN, ils sont susceptibles d’être affectés car le plug-in vSAN est activé par défaut.

«Le vSphere Client (HTML5) contient une vulnérabilité d’exécution de code à distance en raison d’un manque de validation d’entrée dans le plug-in Virtual SAN Health Check qui est activé par défaut dans vCenter Server», VMware a décrit le problème dans un avis .

Dans sa FAQ , VMware a averti que puisque l’attaquant n’a besoin que de pouvoir atteindre le port 443 pour mener l’attaque, les contrôles du pare-feu sont la dernière ligne de défense pour les utilisateurs.

«Les organisations qui ont placé leurs serveurs vCenter sur des réseaux directement accessibles à partir d’Internet peuvent ne pas avoir cette ligne de défense et devraient auditer leurs systèmes pour détecter tout compromis», déclare la société.

« Ils devraient également prendre des mesures pour mettre en œuvre davantage de contrôles de sécurité périmétriques (pare-feu, ACL, etc.) sur les interfaces de gestion de leur infrastructure. »

Pour résoudre le problème, VMware recommande aux utilisateurs de mettre à jour vCenter, ou si ce n’est pas possible, la société a fourni des instructions sur la façon de désactiver les plug-ins vCenter Server.

« Bien que vSAN continue de fonctionner, la gestion et la surveillance ne sont pas possibles lorsque le plug-in est désactivé. Un client qui utilise vSAN ne devrait envisager de désactiver le plug-in que pendant de courtes périodes, voire pas du tout », a averti VMware.

Les utilisateurs sont avertis que les correctifs fournissent une meilleure authentification du plug-in, et certains plug-ins tiers peuvent se rompre et les utilisateurs sont invités à contacter le fournisseur du plug-in.

«Cela nécessite votre attention immédiate si vous utilisez vCenter Server», a déclaré VMware dans un article de blog .

« À l’ère des ransomwares, il est plus sûr de supposer qu’un attaquant est déjà à l’intérieur du réseau quelque part, sur un bureau et peut-être même sous le contrôle d’un compte utilisateur, c’est pourquoi nous vous recommandons vivement de déclarer un changement d’urgence et un correctif dès que possible. . »

Même avoir des contrôles de périmètre peut ne pas être suffisant, et VMware a suggéré aux utilisateurs de rechercher une meilleure séparation du réseau.

« Les gangs de ransomware ont démontré à plusieurs reprises au monde qu’ils sont capables de compromettre les réseaux d’entreprise tout en restant extrêmement patients, en attendant une nouvelle vulnérabilité pour attaquer depuis l’intérieur d’un réseau », a-t-il déclaré.

«Ce n’est pas unique aux produits VMware, mais cela alimente nos suggestions ici. Les organisations peuvent souhaiter envisager des contrôles de sécurité supplémentaires et une isolation entre leur infrastructure informatique et d’autres réseaux d’entreprise dans le cadre d’un effort visant à mettre en œuvre des stratégies de sécurité modernes de confiance zéro.»

La deuxième vulnérabilité, CVE-2021-21986, permettrait à un attaquant d’effectuer des actions autorisées par des plugins sans authentification.

«Le vSphere Client (HTML5) contient une vulnérabilité dans un mécanisme d’authentification vSphere pour les plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager et VMware Cloud Director Availability», a déclaré VMware.

En termes de scores CVSSv3, CVE-2021-21985 a atteint 9,8, tandis que CVE-2021-21986 a été noté 6,5.

Plus tôt cette année, une paire de vulnérabilités ESXi était utilisée par des gangs de ransomwares pour prendre le contrôle de machines virtuelles et chiffrer des disques durs virtuels.