VMware a corrigé plusieurs vulnérabilités critiques d’exécution de code à distance (RCE) dans la plate-forme de gestion d’infrastructure virtuelle VMware ESXi et vSphere Client qui peuvent permettre aux attaquants d’exécuter des commandes arbitraires et de prendre le contrôle des systèmes affectés.
« Un acteur malveillant disposant d’un accès réseau au port 443 peut exploiter ce problème pour exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent qui héberge vCenter Server », la société mentionné dans son avis.
La vulnérabilité, classée CVE-2021-21972, a un score CVSS de 9,8 sur un maximum de 10, ce qui la rend critique en termes de gravité.
«À notre avis, la vulnérabilité RCE dans vCenter Server ne peut pas moins représenter une menace que la fameuse vulnérabilité de Citrix (CVE-2019-19781)», a déclaré Mikhail Klyuchnikov de Positive Technologies, qui a découvert et signalé la faille à VMware.
« L’erreur permet à un utilisateur non autorisé d’envoyer une requête spécialement conçue, ce qui leur donnera plus tard la possibilité d’exécuter des commandes arbitraires sur le serveur. »
Avec cet accès en place, l’attaquant peut alors se déplacer avec succès à travers le réseau de l’entreprise et accéder aux données stockées dans le système vulnérable, telles que les informations sur les machines virtuelles et les utilisateurs du système, a noté Klyuchnikov.
Séparément, une deuxième vulnérabilité (CVE-2021-21973, score CVSS 5,3) permet aux utilisateurs non autorisés d’envoyer des requêtes POST, permettant à un adversaire de lancer de nouvelles attaques, y compris la possibilité d’analyser le réseau interne de l’entreprise et de récupérer des détails sur les ports ouverts de divers prestations de service.
Le problème de divulgation d’informations, selon VMware, découle d’une vulnérabilité SSRF (Server Side Request Forgery) en raison d’une validation incorrecte des URL dans le plug-in vCenter Server.
VMware a également fourni des solutions de contournement pour corriger temporairement CVE-2021-21972 et CVE-2021-21973 jusqu’à ce que les mises à jour puissent être déployées. Les étapes détaillées peuvent être trouvées ici.
Il convient de noter que VMware a rectifié une vulnérabilité d’injection de commande dans son produit vSphere Replication (CVE-2021-21976, CVSS score de 7,2) plus tôt ce mois-ci, ce qui pourrait accorder à un mauvais acteur des privilèges administratifs pour exécuter des commandes shell et atteindre RCE.
Enfin, VMware a également résolu un bogue de débordement de tas (CVE-2021-21974, score CVSS 8,8) dans le protocole de localisation de service (SLP) d’ESXi, permettant potentiellement à un attaquant sur le même réseau d’envoyer des requêtes SLP malveillantes à un appareil ESXi et de prendre le contrôle. de celui-ci.
OpenSLP fournit une structure permettant aux applications de mise en réseau de découvrir l’existence, l’emplacement et la configuration des services en réseau dans les réseaux d’entreprise.
Le dernier correctif pour ESXi OpenSLP fait suite à un correctif similaire (CVE-2020-3992) en novembre dernier qui pourraient être exploitées pour utilisation-après-libre dans le service OpenSLP, conduisant à l’exécution de code à distance.
Peu de temps après, des rapports de tentatives d’exploitation actives ont émergé dans la nature, avec des gangs de ransomwares abuser la vulnérabilité de prendre en charge les machines virtuelles non corrigées déployées dans les environnements d’entreprise et de chiffrer leurs disques durs virtuels.
Il est fortement recommandé aux utilisateurs d’installer les mises à jour pour éliminer le risque associé aux failles, en plus de «supprimer les interfaces vCenter Server du périmètre des organisations, le cas échéant, et de les allouer à un VLAN distinct avec une liste d’accès limitée dans le réseau interne. »
