Les serveurs VMware vulnérables sont ciblés après la publication d’une preuve de concept

0

Après que des chercheurs en sécurité aient développé et publié un code d’exploitation de preuve de concept ciblant une vulnérabilité critique d’exécution de code à distance de vCenter, les pirates informatiques recherchent maintenant activement des serveurs VMware vulnérables sur Internet.

L’activité de numérisation a été repérée par la société de renseignement sur les menaces Bad Packets juste un jour après que VMware ait corrigé la vulnérabilité critique.

Des milliers de serveurs vCenter non patchés sont encore accessibles sur Internet, selon les informations fournies par BinaryEdge (plus de 14 000 serveurs exposés) et Shodan (plus de 6 700).

Mikhail Klyuchnikov de Positive Technologies a trouvé le bug (CVE-2021-21972) à l’automne 2020 et l’a signalé en privé à VMware en Octobre 2020.

vmware cloud director

Positive Technologies a retardé la publication de tous les détails techniques à une date ultérieure pour donner aux entreprises suffisamment de temps pour patcher leurs serveurs vCenter ou bloquer l’accès du public à ces derniers.

Cependant, ils ont décidé de les publier le 24 Février après qu’au moins deux exploits de preuve de concept pour le bug d’exécution de code à distance aient été publié et que les pirates aient commencé la numérisation de masse pour trouver les serveurs non patchés.

Une faille critique d’exécution de code à distance du vCenter de VMware avec des exploits publics

L’exploitation réussie de ce bogue de sécurité permet aux attaquants de prendre le contrôle de l’ensemble du réseau d’une organisation, étant donné que les serveurs VMware vCenter sont utilisés par les administrateurs informatiques pour gérer les solutions VMware déployées sur l’ensemble de leurs environnements d’entreprise via une seule console.

« Le client vSphere (HTML5) contient une vulnérabilité d’exécution de code à distance dans un plugin vCenter Server », a expliqué VMware.

« Un indvidu malveillant ayant accès au port 443 peut exploiter ce problème pour exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent qui héberge vCenter Server. »

Comme l’entreprise l’a ajouté, le plugin vCenter Server touché pour vRealize Operations (vROps) est présent dans toutes les installations par défaut.

VMware a publié une mise à jour de sécurité la semaine dernière et a évalué la faille de sécurité avec une cote de gravité presque maximale de 9,8 sur 10.

vmware

VMware fournit également une solution de contournement conçue pour supprimer la possibilité d’exploitation pour les administrateurs qui ne peuvent pas immédiatement mettre à jour.

Des étapes détaillées sur la mise en œuvre de la solution de contournement peuvent être trouvées dans le document de support KB82374 de VMware.

Pour souligner l’importance de patcher les serveurs vCenter vulnérables exposés et d’éviter de les exposer sur Internet, les vulnérabilités VMware ont été exploitées dans le passé dans des attaques de ransomware ciblant les réseaux d’entreprise.

Plusieurs gangs de ransomware, y compris RansomExx, Babuk Locker, et Darkside, ont utilisé des exploits d’exécution de code à distance de la pré-authentification de VMWare ESXi pour chiffrer les instances ESXi de disques durs virtuels utilisés comme espace centralisé de stockage d’entreprise, comme ZDNet l’a signalé l’année dernière.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire