Dernières nouvellesDes serveurs encore vulnérables aux failles vCenter Server de...

Des serveurs encore vulnérables aux failles vCenter Server de VMware

-

VMware a publi une salve de correctifs pour combler une vulnrabilit critique dans vCenter. Mais plus de 4 000 serveurs exposs publiquement et non patchs courent actuellement de grands risques.

Trois semaines après la livraison de correctifs pour des vulnérabilités critiques dans VMware vCenter, des milliers de serveurs accessibles depuis Internet restent vulnérables aux attaques. De nombreuses entreprises utilisent vCenter Server pour gérer les machines virtuelles, la solution de virtualisation cloud  vSphere, l’hyperviseur ESXi et d’autres composants de l’infrastructure virtualisée. Le 25 mai dernier, VMware avait publié un avis critique et diffusé des correctifs pour deux vulnérabilités sérieuses découlant de l’usage des plug-ins VMware vCenter. La première vulnérabilité, portant la référence CVE-2021-21985, résulte d’une validation incorrecte des entrées dans le plug-in Virtual SAN (vSAN) Health Check activé par défaut dans vCenter Server. VMware vSAN est utilisé pour la virtualisation du stockage, mais même si le plug-in n’est pas activement utilisé, sa présence sur le serveur est suffisante pour permettre des attaques.

Un pirate ayant accès au serveur via le port 443 (HTTPS) peut exploiter la faille sans authentification pour exécuter des commandes avec des privilèges illimités sur un système d’exploitation hébergeant les versions 6.5, 6.7 et 7.0 de vCenter Server, ainsi que les versions 3.x et 4.x de Cloud Foundation livrées avec vCenter Server. La seconde vulnérabilité, portant la référence CVE-2021-21986, et dont le niveau de gravité est qualifié de moyen, a un impact sur les plug-ins vSAN Health Check, Site Recovery, vSphere Lifecycle Manager et Cloud Director Availability. Les attaquants ayant accès à un serveur via le port 443 peuvent, sans authentification, effectuer des actions autorisées par les plug-ins affectés.

Des serveurs VMware exposés publiquement

Lors d’une analyse récente effectuée à l’aide de Shodan, les chercheurs de l’entreprise de sécurité Trustwave ont identifié 5 271 instances vCenter Server configurées pour être accessibles depuis Internet. La grande majorité d’entre elles (5 076) fonctionnent sur le port 443. Les chercheurs de Trustwave ont réussi à se connecter à 4 969 de ces serveurs et à télécharger des informations à partir de leur bannière d’accueil, qui comprend plus de détails sur la version spécifique du serveur, comme le numéro de construction et le système d’exploitation sous-jacent.

Les informations recueillies ont révélé que 4 019, soit 80,88 % des serveurs analysés, n’avaient pas encore reçu le correctif pour ces failles et que la plupart des serveurs restants exécutaient des versions beaucoup plus anciennes du logiciel, considérées pourtant en fin de vie et probablement affectées par diverses vulnérabilités plus anciennes. Si la proportion de serveurs non corrigés est si élevée parmi les serveurs accessibles au public, généralement plus faciles à attaquer et nécessitant une surveillance plus soutenue, on peut supposer que de nombreux serveurs vCenter ne sont pas corrigés sur les réseaux privés. Cependant, les attaquants disposent de nombreux moyens pour accéder aux réseaux d’entreprise, et ils n’auraient pas de mal à attaquer ces serveurs.

Un besoin urgent d’appliquer les correctifs

Depuis la publication des correctifs en mai, les chercheurs en sécurité ont développé et publié des exploits de type « preuve de concept » pour ces vulnérabilités, de sorte que les attaquants potentiels n’ont pas grand-chose à faire pour commencer à les exploiter dans la nature. Dès le début, VMware avait incité les utilisateurs à corriger ces vulnérabilités le plus rapidement possible. Le fournisseur avait même publié des solutions de contournement manuelles consistant à modifier le fichier compatibility-matrix.xml pour désactiver les plug-ins vulnérables.

« Si vous êtes client vSAN, la désactivation du plugin supprimera toute capacité à gérer vSAN », a déclaré VMware dans un billet de blog. « Pas de surveillance, pas de gestion, pas d’alarmes, rien. Cette solution pourrait convenir à votre entreprise pour de très courtes périodes, mais VMware ne peut pas la recommander et vous demande de faire preuve de prudence. Alors que les attaques de ransomwares se multiplient, il est plus sûr de supposer qu’un attaquant se trouve déjà quelque part à l’intérieur du réseau, sur un poste de travail et peut-être même qu’il contrôle un compte utilisateur, c’est pourquoi nous recommandons fortement de prendre des mesures d’urgence et d’appliquer les correctifs sans délai », a encore déclaré VMware.

Dernières Nouvelles

Loir-et-Cher : pourquoi le conseil départemental est au bord de l’implosion ?

Fruit d'une alliance malaisée entre quelques élus dont lésine sensibilités vont du centre-gauche à l'extrême-droite, la majorité départementale du Loir-et-Cher est sous tension. Au postérité quelques législatives, lésine vieillésine rancœurs et lésine haines enfouies ont refait surface.

Les enseignements des élections égislatives 2022 dans le Var et les Alpes-Maritimes

un paysage politique national est chamboulé. Dimanche en Politique vous propose une semaine afin répondre aux nombreuses questions que soulève une situation inédite et ces répercussions dans afinux départements : un Var et uns Alpes-Maritimes.

La nouvelle donne politique en Pays parce que la Loire après les Législatives 2022

Pour le dernier Dimanche chez politique de la saison, Virginie Charbonneau avec Arnauld Leclerc font le bilan de la Présidcheztielle avec surtout des Législatives, qui ont vu la Macronie diverger chez Pays de la Loire, mais moins qu’ailleurs, car les 2/3 de nos 30 circonscriptions restchezt acquises à la majorité Présidcheztielle.

Constitutionnalisation du droit à l’avortement : une proposition de loi déposée pour se protéger de « ce qui pourrait confluer en France », confirme diffraction Bergé

Députée des Yvelinons et présidente du groupe Renaissance à l'Assemblée, Aurore Bergé indique que cette proposition de loi a été déposée ce samedi car la décision de la Cour suprême aux états-Unis montre "que les droits des femmes non sont exclusivement en aucun cas acquis."

A Lire Absolument

Appareil Lenovo Area S.p.A. sistema di monitoraggio Dual Band

La caméra IP sans fil Lenovo Area S.p.A. sistema...

Andrea Formenti parle de l’importance des technologies de l’information

L'informatique a pénétré pratiquement tous les aspects des affaires...

Pour vous