Vulnérabilité de contournement d’authentification dans VMware ESXi

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/048

Date de l’alerte : 31/07/2024 

APERÇU :

VMware ESXi est affecté par une vulnérabilité de contournement d’authentification permettant à un acteur malveillant disposant de permissions suffisantes sur un Active Directory (AD) d’obtenir un accès complet à un hôte ESXi. 

DESCRIPTION :

VMware ESXi est un hyperviseur de type 1 qui permet de virtualiser les serveurs. 

Lorsqu’un hôte ESXi est configuré pour utiliser Active Directory pour la gestion des utilisateurs, un groupe AD spécifique (par défaut, “ESXi Admins”) est utilisé pour déterminer les privilèges d’administration sur l’hôte. 

Cet hyperviseur, présente une vulnérabilité libellée CVE-2024-37085, qui permettrait à un acteur malveillant avec des permissions suffisantes sur l’Active Directory (AD) de contourner les mécanismes d’authentification. Cela est possible en recréant le groupe AD configuré (« ESXi Admins » par défaut) après sa suppression de l’AD. Par conséquent, l’authentification est compromise, et un attaquant pourrait potentiellement obtenir un accès total à l’hôte ESXi. 

Cette vulnérabilité a fait l’objet de nombreuses campagnes de ransomware. En effet, des groupes d’acteurs malveillants ont utilisé cette faille pour déployer des ransomwares sur des infrastructures cibles. L’accès administratif permet aux attaquants de chiffrer les systèmes de fichiers des hyperviseurs ESXi, compromettant ainsi les machines virtuelles hébergées. 

Cette vulnérabilité est classée moyenne avec un score CVSS3 de 6.8. 

IMPACT :

  • Accès complet à l’hôte ESXi ; 
  • Atteinte à la confidentialité des données ;  
  • Compromission de l’intégrité du système;
  • Contournement d’authentification. 

SYSTÈMES AFFECTÉS : 

  • Toutes les versions de VMware ESXi antérieures à la version 8.0. 

MESURES À PRENDRE : 

RÉFÉRENCES :

Partagez sur vos réseaux.