VMware vCenter – CVE-2021-22005 : un exploit circule sur le Web !

Je crois qu'il est temps d'en remettre une couche au sujet de la faille de sécurité critique qui touche les serveurs VMware vCenter en version 6.7 et 7.0 : un exploit prêt à l'emploi circule sur le Web, ce qui facilite grandement les attaques !

Comme je l'expliquais dans un précédent article au sujet de cette vulnérabilité CVE-2021-22005, elle peut être exploitée par quelqu'un qui est capable de contacter le serveur vCenter sur le réseau (port 443), peu importe la configuration qui est en place sur le serveur vCenter, et sans être authentifié.

Quant à l'exploit prêt à l'emploi et qui circule sur Internet, il permet d'exploiter cette vulnérabilité et de mettre en place un reverse shell sur le serveur distant, ce qui n'était pas le cas avec l'exploit initial. De quoi permettre l'exécution de code arbitraire, au bon vouloir de l'attaquant.

Initialement, la vulnérabilité touchait le service Analytics de vCenter, mais suite aux informations publiées par un dénommé WVU, il serait possible de passer par le composant Customer Experience Improvement Program, qui est actif par défaut. On pourrait presque parler de deux failles de sécurité différentes, comme le suggère l'analyste du CERT/CC, Will Dormann.

Désormais, des groupes de hackers ont pu construire un code d'exploit fonctionnel et prêt à l'emploi pour compromettre facilement les serveurs vCenter, à partir des informations publiées par le chercheur Jang.

Retenez que, n'importe qui capable de joindre un serveur vCenter non patché, peut le compromettre à cause de cette faille de sécurité. Quand on sait qu'il y a des serveurs vCenter accessibles sur une adresse IP publique, voire même indexés dans Google, ce n'est pas rassurant pour les entreprises concernées.

Pour protéger vos serveurs VMware vCenter, vous devez viser les versions suivantes :

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3272 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.