Exécution de code à distance dans VMware vRealize Operations Manager

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2021/ALERTE/012

Date de l’alerte: 02/04/2021

APERÇU :

VMware a récemment publié des mises à jour de sécurité afin de remédier à des vulnérabilités ayant un impact élevé concernant l’application « vRealize Operations Manager ».

Libellées CVE-2021-21975 et CVE-2021-21983, ces vulnérabilités permettraient respectivement une falsification de demandes côté serveur et une écriture arbitraire de fichiers.

 

DESCRIPTION :

VMware « vRealize Operations Manager » est une plate-forme de gestion informatique qui permet la visibilité, l’optimisation et la gestion de l’infrastructure physique, virtuelle et cloud d’une organisation. Ce logiciel est intégré à une API qui permet aux développeurs de créer des clients « vRealize Operations Manager » leur permettant de communiquer avec le serveur via HTTP.

La faille libellée CVE-2021-21975 consiste à une falsification de requêtes côté serveur dans l’API « vRealize Operations Manager ». La vulnérabilité existe en raison d’une validation insuffisante des entrées fournies par l’utilisateur dans l’API. Un attaquant distant peut ainsi envoyer une requête HTTP spécialement conçue et circonvenir l’application pour qu’elle émette des requêtes arbitraires. Les attaquants disposant d’un accès réseau à l’API ont la possibilité d’exploiter la vulnérabilité à distance pour effectuer des attaques SSRF sans nécessiter d’authentification pour subtiliser des informations d’identification d’utilisateurs privilégiés comme ceux de l’administrateur.

La deuxième vulnérabilité, également de sévérité élevée, toujours dans l’API « vRealize Operations Manager », libellée CVE-2021-21983 permet aux attaquants authentifiés d’écrire à distance des fichiers à des emplacements arbitraires sur le système d’exploitation sous-jacent. La vulnérabilité existe en raison d’une validation insuffisante des fichiers lors du chargement par l’API. Un acteur authentifié à distance a la possibilité de charger un fichier malveillant et de l’exécuter sur le serveur.

La condition préalable à l’exploitation des vulnérabilités citées est que l’acteur malveillant doit avoir un accès réseau à l’API « vRealize Operations Manager ». L’exploitation réussie de ces vulnérabilités permettrait à un attaquant distant d’exécuter du code arbitraire, d’accéder à des données sensibles situées dans le réseau local, d’envoyer des requêtes malveillantes à d’autres serveurs à partir du système vulnérable ou de corrompre le système.

 

IMPACT :

  • Exécution de programmes arbitraires
  • Corruption de système

 

SYSTEMES AFFECTÉS :

VMware vRealize Operations Manager: 7.5, 8.0, 8.0.1, 8.1, 8.1.1, 8.2.0, 8.3.0

 

MESURES À PRENDRE :

Téléchargez et installez la version adéquate du correctif de sécurité correspondant à votre version de « vRealize Operations ».

 

REFERENCES :

  • https://www.vmware.com/security/advisories/VMSA-2021-0004.html
  • https://www.cybersecurity-help.cz/vdb/SB2021033102
  • https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-vmware-vrealize-operations-manager-could-allow-for-remote-code-execution_2021-041/
  • https://kb.vmware.com/s/article/82367
  • https://kb.vmware.com/s/article/83093
  • https://kb.vmware.com/s/article/83094
  • https://kb.vmware.com/s/article/83095
  • https://kb.vmware.com/s/article/83210
Partagez sur vos réseaux.