VMware a fourni des mises à jour pour corriger deux vulnérabilités de sécurité dans vCenter Server et Cloud Foundation qui pourraient être exploitées par un attaquant distant pour accéder à des informations sensibles.
Le plus grave des problèmes concerne une vulnérabilité de lecture de fichier arbitraire dans vSphere Web Client. Suivi comme CVE-2021-21980, le bogue a été noté 7,5 sur un maximum de 10 sur le système de notation CVSS et a un impact sur les versions 6.5 et 6.7 de vCenter Server.
« Un acteur malveillant disposant d’un accès réseau au port 443 sur vCenter Server peut exploiter ce problème pour accéder à des informations sensibles », précise la société. c’est noté dans un avis publié le 23 novembre, créditant ch0wn du laboratoire Orz pour avoir signalé la faille.
La deuxième lacune comblée par VMware concerne une SSRF (Server-Side Request Forgery) vulnérabilité dans le plug-in du client Web Virtual Storage Area Network (vSAN) qui pourrait permettre à un acteur malveillant ayant un accès réseau au port 443 sur vCenter Server d’exploiter la faille en accédant à un service interne ou à une demande d’URL en dehors du serveur.
La société a attribué à magiczero de SGLAB de Legendsec du groupe Qi’anxin la découverte et le signalement de la faille.
Les attaques SSRF sont une sorte de vulnérabilité de sécurité Web qui permet à un adversaire de lire ou de modifier les ressources internes auxquelles le serveur cible a accès en envoyant des requêtes HTTP spécialement conçues, entraînant l’exposition non autorisée d’informations.
Les risques liés aux attaques SSRF sont si graves et si répandus qu’ils se sont retrouvés sur la liste de l’Open Web Application Security Project (OWASP) Top 10 risques de sécurité des applications Web pour 2021.
Les solutions de virtualisation de VMware étant largement utilisées dans les entreprises, il n’est pas surprenant que ses produits soient devenus des cibles lucratives pour les acteurs malveillants qui lancent diverses attaques contre des réseaux vulnérables. Pour atténuer le risque d’infiltration, il est recommandé aux organisations d’agir rapidement pour appliquer les mises à jour nécessaires.
