Informatique

VMware : Une faille critique activement exploitée inquiète

VMware : Une faille critique activement exploitée inquiète les experts

Un code d’exploitation fonctionnel pour la vulnérabilité CVE-2021-22005, dans le VMware vCenter, a été publié. Il serait utilisé par des acteurs malveillants, selon des experts.

La semaine dernière, VMware a signalé une vulnérabilité critique dans le service d’analyse de vCenter Server. L’entreprise a alors demandé à ses utilisateurs de mettre à jour leurs systèmes dès que possible.

Le 21 septembre, VMware ajoute que vCenter Server est affecté par une vulnérabilité de téléchargement de fichier arbitraire dans le service d’analyse, qui permettrait à un acteur malveillant ayant un accès réseau d’exploiter cette vulnérabilité pour exécuter du code sur les vCenter Servers.

Dans les mains des attaquants

Le 24 septembre, VMware a confirmé les informations indiquant que CVE-2021-22005 était exploitée par des attaquants, et des chercheurs en sécurité ont signalé des tentatives de scan des serveurs vCenter vulnérables et des codes d’exploitation publiquement disponibles.

L’agence de cybersécurité américaine, la CISA, a également publié son propre avertissement vendredi dernier, indiquant sur Twitter s’attendre à une « exploitation généralisée de VMware vCenter Server CVE-2021-22005 ». Comme VMware, l’agence exhorte les utilisateurs à mettre à jour vers une version corrigée le plus rapidement possible, ou à appliquer la solution de contournement temporaire fournie par VMware. Le CERT-FR a publié une alerte signalant de son côté de « multiples vulnérabilités dans les produits VMWare », invitant les utilisateurs à se tourner vers l’avis de sécurité publié par la société, sans donner plus d’éléments.

Le même jour, la société de cybersécurité Censys a publié un rapport indiquant qu’environ 3 264 hôtes exposés sur internet étaient potentiellement vulnérables. Plus de 430 d’entre eux ont été corrigés, et 1 369 sont soit des versions non affectées, soit ont mis en œuvre les solutions de contournement recommandées.

Dans une déclaration à ZDNet, VMware a rappelé avoir publié des correctifs et des solutions de contournement pour corriger les multiples vulnérabilités affectant VMware vCenter Server 6.5, 6.7 et 7.0. La société a également publié un avis de sécurité. « La protection de nos clients est une priorité absolue pour VMware, et nous recommandons fortement aux clients concernés d’appliquer immédiatement les correctifs indiqués dans l’avis. VMware encourage tous les clients à appliquer les dernières mises à jour des produits, les correctifs de sécurité et les mesures de contournement disponibles pour leur environnement et à déployer nos produits dans une configuration renforcée en matière de sécurité », affirme la société. « Les clients doivent également s’inscrire à la liste de diffusion Security-Announce de VMware pour recevoir les avis de sécurité VMware nouveaux et mis à jour. »

Une faille aux conséquences importantes

Derek Abdine, CRO de Censys, a confirmé à ZDNet que l’exploitation de la faille pour l’exécution de code à distance est possible et facile à faire.

Will Dormann, analyste des vulnérabilités au CERT/CC, a également confirmé sur Twitter que l’exploit pour CVE-2021-22005 est désormais entièrement public.

censys-vmware-1.png

Une carte indiquant l’emplacement de tous les hôtes VMware vCenter est accessible via internet. Image : Censys.

Des appareils situés à Hong Kong, au Vietnam, aux Pays-Bas, au Japon, à Singapour et dans d’autres pays à travers le monde continuent de scanner les machines vulnérables, selon Bad Packets.

John Bambenek, principal threat hunter chez Netenrich, explique à ZDNet que l’exécution de code à distance en tant que root sur ces types de dispositifs pouvait avoir des conséquences graves : « de nombreuses entreprises exploitent des machines virtuelles et si un acteur malveillant dispose d’un accès root, il pourrait demander une rançon pour chaque machine de cet environnement ou voler les données de ces machines virtuelles avec une relative facilité ».

Source : ZDNet.com




Source link

Articles similaires

Bouton retour en haut de la page