Origine: bjCSIRT
Numéro: 2021/ALERTE/041
Date de l’alerte: 27/09/2021
APERÇU :
VMware a récemment publié et corrigé dans son avis de sécurité VMSA-2021-0020 des correctifs concernant dix-neuf (19) vulnérabilités qui affectent « vCenter Server », un logiciel de gestion centralisée pour les systèmes VMware vSphere.
DESCRIPTION :
VMware vCenter Server est un utilitaire de gestion de serveurs utilisé pour la gestion des machines virtuelles, des hôtes ESXi et autres composants dépendants à partir d’un seul emplacement centralisé.
Plusieurs vulnérabilités ont été publiées et corrigées, la plus grave et urgente d’entre elles libellée CVE-2021-22005 est une vulnérabilité de téléchargement de fichier arbitraire dans le service Analytics qui affecte les versions 6.7 et 7.0 de vCenter Server.
En effet, quels que soient les paramètres de configuration de vCenter Server, un acteur malveillant ayant un accès réseau au port 443 sur vCenter Server peut exploiter cette faille puis exécuter du code en téléchargeant un fichier spécialement conçu.
Par ailleurs, plusieurs autres vulnérabilités affectent également le produit VMware vCenter Server. Il s’agit des vulnérabilités suivantes :
- CVE-2021-1991 : Elévation de privilèges par l’exploitation d’une vulnérabilité d’accès utilisateur non-administrateur sur vSphere Client.
- CVE-2021-22006: Accès aux endpoints restreints par l’exploitation d’une vulnérabilité via le port 443 sur vCenter Server.
- CVE-2021-22011: Manipulation des paramètres réseau de la machine virtuelle non authentifiée par l’exploitation d’une vulnérabilité via le port 443 sur vCenter Server.
- CVE-2021-22015: Elévation de privilèges à la racine sur vCenter Server Appliance par l’exploitation d’une vulnérabilité d’utilisateur local authentifié avec des privilèges non-administrateur « root ».
- CVE-2021-22012, CVE-2021-22013: Accès aux informations sensibles par l’exploitation d’une vulnérabilité de l’accès réseau via le port 443 sur vCenter Server.
- CVE-2021-22016: Exécution de scripts malveillants par l’exploitation de la vulnérabilité XSS réfléchie en incitant une victime à cliquer sur un lien malveillant.
- CVE-2021-22017: Vulnérabilité de contournement du proxy menant vers des endpoints internes par l’exploitation du port 443 sur vCenter Server.
- CVE-2021-22014: Exécution de code sur le système d’exploitation sous-jacent qui héberge vCenter Server par l’exploitation d’une vulnérabilité via le port 5480 avec un utilisateur VAMI authentifié.
- CVE-2021-22018: Suppression de fichiers non critiques par l’exploitation d’une vulnérabilité via le port 9087 sur vCenter Server.
- CVE-2021-1992: Déni de service possible sur vCenter Server par l’exploitation d’une vulnérabilité d’utilisateur authentifié avec des privilèges non-administrateur.
- CVE-2021-22007: Accès à des informations sensibles par l’exploitation d’une vulnérabilité d’utilisateur authentifié avec des privilèges non-administrateur.
- CVE-2021-22019: Déni de service dû à l’exploitation d’une faille via le port 5480 sur vCenter Server en envoyant un message « jsonrpc » spécialement conçu.
- CVE-2021-22009: Déni de service en raison d’une consommation excessive de mémoire par le service VAPI via le port 443 sur vCenter Server.
- CVE-2021-22010: Déni de service dû à une consommation excessive de mémoire par le service VPXD via le port 443 sur vCenter Server.
- CVE-2021-22008: Exploitation d’une faille par l’envoi d’un message « jsonrpc » spécialement conçu pour accéder aux informations sensibles via le port 443 sur vCenter Server.
- CVE-2021-22020: Possibilité de création d’une condition de déni de service sur vCenter Server.
- CVE-2021-1993 : Divulgation d’information via l’accès d’un utilisateur autorisé à la bibliothèque de contenu cette faille par l’envoi d’une requête POST à vCenter Server.
IMPACT :
- Exécution de code à distance
- Compromission du système
- Indisponibilité du service
SYSTEMES AFFECTÉS :
- Les versions 7.0, 6.7 et 6.5 de VMware vCenter Server
- VMware Cloud Foundation
MESURES À PRENDRE :
Il est fortement recommandé de :
- Appliquer les dernières mises à jour (7.0 U2c, 7.0 U2d, 6.7 U3o, 6.5 U3q) de VMware vCenter Server.
- Vérifier que le système n’a pas été compromis avant d’appliquer les correctifs.
- Restreindre l’accès réseau au port « TCP 443» aux hôtes autorisés ou accessible via un VPN
- Appliquer le principe du moindre privilège à tous les systèmes et services.
REFERENCES :
- https://thehackernews.com/2021/09/vmware-warns-of-critical-file-upload.html
- https://www.vmware.com/security/advisories/VMSA-2021-0020.html
CVE
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21991
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21992
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21993
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22005
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22006
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22007
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22008
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22009
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22010
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22011
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22012
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22013
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22014
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22015
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22016
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22017
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22018
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22019
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22020