Une vulnérabilité critique de l’appliance VMware Carbon Black Cloud Workload pourrait être exploitée pour contourner l’authentification et prendre le contrôle de systèmes vulnérables.
Suivi comme CVE-2021-21982, la faille est notée 9,1 sur un maximum de 10 dans le système de notation CVSS et affecte toutes les versions du produit antérieures à 1.0.1.
Carbon Black Cloud Workload est un produit de sécurité de centre de données de VMware qui vise à protéger les serveurs et les charges de travail critiques hébergés sur vSphere, la plateforme de virtualisation de cloud computing de l’entreprise.
«Une URL sur l’interface administrative de l’appliance VMware Carbon Black Cloud Workload peut être manipulée pour contourner l’authentification», VMware m’a dit dans son avis, permettant ainsi à un adversaire disposant d’un accès réseau à l’interface d’accéder à l’API d’administration de l’appliance.
Armé de l’accès, un acteur malveillant peut alors visualiser et modifier paramètres de configuration administrative, a ajouté la société.
En plus de publier un correctif pour CVE-2021-21982, VMware a également adressé deux bogues distincts dans sa solution vRealize Operations Manager qu’un attaquant disposant d’un accès réseau à l’API pourrait exploiter pour effectuer une falsification de requête côté serveur (SSRF) pour voler des informations d’identification administratives (CVE-2021-21975) et écrire des fichiers à des emplacements arbitraires sur le sous-jacent photon système d’exploitation (CVE-2021-21983).
Le produit est principalement conçu pour surveiller et optimiser les performances de l’infrastructure virtuelle et prendre en charge des fonctionnalités telles que l’équilibrage de la charge de travail, le dépannage et la gestion de la conformité.
Egor Dimitrenko, un chercheur en sécurité chez Positive Technologies, a été reconnu pour avoir signalé les trois failles.
« Le principal risque est que les privilèges d’administrateur permettent aux attaquants d’exploiter la deuxième vulnérabilité – CVE-2021-21983 (une faille d’écriture de fichier arbitraire, notée 7,2), qui permet d’exécuter toutes les commandes sur le serveur », Dimitrenko m’a dit. « La combinaison de deux failles de sécurité rend la situation encore plus dangereuse, car elle permet à un attaquant non autorisé d’obtenir le contrôle du serveur et de se déplacer latéralement dans l’infrastructure. »
VMware a publié des correctifs pour les versions 7.0.0, 7.5.0, 8.0.1, 8.1.1, 8.2.0 et 8.3.0 de vRealize Operations Manager. La société a également publié des solutions de contournement pour atténuer les risques associés aux failles dans les scénarios où le correctif ne peut pas être installé ou n’est pas disponible.
