Origine: bjCSIRT

Numéro: 2021/ALERTE/006

Date de l’alerte: 24/02/2021

APERÇU :

Une vulnérabilité critique d’exécution de code à distance affectant la plate-forme de gestion d’infrastructure virtuelle VMware ESXi et vSphere Client permettrait aux attaquants d’exécuter des commandes arbitraires et de prendre le contrôle des systèmes affectés.

DESCRIPTION :

La solution compromise, vCenter Server est un utilitaire de gestion centralisée pour VMware. Elle est utilisée pour la gestion des machines virtuelles, des hôtes ESXi à partir d’un seul endroit. Il est important de mentionner que la vulnérabilité, libellée CVE-2021-21972, peut être exploitée par les acteurs malveillants à distance sans aucune interaction avec l’utilisateur cible.

La défaillance affecte le plug-in vCenter Server pour vROP, disponible par défaut sur toutes les installations du logiciel. Cette faille a un score de criticité de 9,8 sur un maximum de 10.

Elle permettrait à tout acteur malveillant ayant un accès réseau au port 443 d’exécuter des commandes avec des privilèges illimités sur le système d’exploitation qui héberge le serveur vCenter. L’attaquant peut parcourir avec succès le réseau de l’entreprise et accéder aux données stockées : telles que les informations sur les machines virtuelles et les utilisateurs du système.

IMPACT :

Exécution de code à distance sur la machine affectée.

SYSTEMES AFFECTÉS :

Les versions 7, 6.7 et 6.5

MESURES À PRENDRE :

Il est fortement recommandé de:

• mettre à niveau les installations vulnérables de vCenter Server vers les versions U3n, 6.7 U3l ou 7.0 U1c;
• Appliquer les différentes mises à jour de sécurité (KB82374).

REFERENCES :

• https://thehackernews.com/2021/02/critical-rce-flaw-affects-vmware.html
• https://securityaffairs.co/wordpress/114957/security/vmware-in-vcenter-server-rce.html
• https://www.vmware.com/security/advisories/VMSA-2021-0002.html
• https://www.securitynewspaper.com/2021/02/23/critical-vmware-flaw-update-now-to-prevent-exploitation-risk/