Secu

Trois nouvelles failles VMware ESXi doivent mettre les DSI en alerte

Par Laurent Delattre, publié le 18 juin 2024

VMware lance une alerte sur deux failles critiques et une faille grave au cœur de ses infrastructures de virtualisation. Les patchs sont disponibles et doivent être implantés au plus vite !

Loin des débats autour des nouvelles politiques tarifaires et de licences de Broadcom, il existe toujours une réalité de terrain avec des infrastructures animées par des logiciels qui leur servent de fondation. Et qui dit logiciel, dit bugs et failles de sécurité. Et quand ces failles touchent les couches fondation de l’infrastructure, il y a forcément un peu panique à bord, à défaut urgence à agir…

VMware by Broadcom vient de publier un bulletin d’alerte concernant trois vulnérabilités critiques au cœur de son hyperviseur vSphere ESXi et donc au cœur de vCenter Server et de VMware Cloud Foundation. Les failles découvertes pourraient permettre à des pirates d’obtenir des privilèges élevés et d’exécuter du code malveillant à distance.

Les deux premières vulnérabilités (CVE-2024-37079 et CVE-2024-37080), notées 9,8/10 sur l’échelle CVSS v2, autrement dit jugées ultra-critiques, sont des failles de débordement de tas (heap overflow) dans l’implémentation du protocole DCE/RPC. Un acteur malveillant ayant accès au réseau d’un serveur vCenter peut exploiter ces failles en envoyant un paquet réseau spécialement conçu afin d’exécuter du code malveillant à distance sur les machines vulnérables. Le protocole DCE/RPC (Distributed Computing Environment/Remote Procedure Calls) est utilisé pour appeler une procédure sur une machine distante comme si elle était locale, ce qui est essentiel pour la gestion des machines virtuelles. Toute faille dans ce protocole est donc forcément critique.

La troisième vulnérabilité, référencée CVE-2024-37081 et notée d’une gravité 7,8/10 sur l’échelle CVSS, concerne des défauts de configuration qui permettraient à un utilisateur local authentifié, même avec des privilèges non administratifs, d’élever ses permissions via la commande sudo jusqu’aux droits root sur l’appliance vCenter Server. Cette élévation de privilèges « ouverte » pourrait faciliter des attaques internes et compromettre la sécurité des systèmes.

Si VMware indique ne pas avoir connaissance d’exploitations actives de ces failles à ce jour, les risques sont majeurs étant donné le rôle central de vCenter Server dans la gestion des infrastructures virtualisées VMware. D’autant que l’on connaît la célérité des hackers et cyber attaquants à faire du rétro-engineering des patchs et produire des vecteurs d’attaque ciblant de telles failles critiques. Des mises à jour sont d’ores et déjà disponibles pour corriger ces vulnérabilités sur les versions récentes. En revanche, le sort des versions antérieures de vSphere 6.5 et 6.7, aujourd’hui hors support, reste incertain. A priori, elles pourraient effectivement être vulnérables. Un vrai test de mise à l’épreuve pour le nouveau VMware à la sauce Broadcom.

Quoi qu’il en soit, tout DSI, tout administrateur, tout RSSI d’organisations équipées d’infrastructures VMware doit rapidement entreprendre la mise en œuvre des correctifs disponibles sur le site de VMware : Support Content Notification


À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights