VMware corrige une faille d’exécution de code à distance de View Planner

0

VMware a adressé une vulnérabilité d’exécution de code à distance non authentifié dans le View Planner, cette faille permet aux hackers d’abuser des serveurs utilisant une version non-patchée du logiciel.

View Planner est un outil gratuit pour comparer les performances des clients de bureau et les performances du Virtual Desktop Infrastructure côté serveur.

La vulnérabilité a été découverte et signalée à VMware par Mikhail Klyuchnikov, expert en sécurité des applications Web chez Positive Technologies.

Une mauvaise vérification des extensions de fichier

Selon l’avis de sécurité de VMware, la faille de sécurité signalée est identifiée comme CVE-2021-21978 et a reçu un score CVSS de 8,6 sur 10.

CVE-2021-21978 peut être exploité à distance par des attaquants non autorisés dans des attaques de faible complexité qui ne nécessitent pas l’interaction de l’utilisateur.

La faille est causée par une validation incorrecte des extensions de fichiers en raison d’une validation incorrecte des entrées et des bugs de manque d’autorisation dans l’application web logupload.

L’exploitation réussie des instances VMware View Planner 4.x avant le patch pourrait permettre aux attaquants distants de télécharger des fichiers arbitraires via des requêtes HTTP spécialement conçues.

Les pirates informatiques peuvent alors exécuter les fichiers téléchargés pour exécuter du code malveillant arbitraire sur les serveurs compromis dans le conteneur logupload.

vmware view planner

Les pirates à la recherche des serveurs VMware vulnérables

Le mois dernier, VMware a adressé une autre vulnérabilité (CVE-2021-21972) signalée par Klyuchnikov, un bug critique d’exécution de code à distance dans le plugin vCenter Server affectant toutes les installations vCenter Client par défaut.

« Le client vSphere (HTML5) contient une vulnérabilité d’exécution de code à distance dans un plugin vCenter Server », a déclaré VMware.

« Un acteur malveillant ayant accès au port 443 peut exploiter ce problème pour exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent qui héberge vCenter Server. »

Des milliers de serveurs vCenter non patchés sont accessibles sur Internet, comme le montrent Shodan (plus de 6 700 serveurs exposés) et BinaryEdge (plus de 14 000).

Les pirates informatiques ont commencé la numérisation de masse pour les serveurs VMware vCenter vulnérables et exposés à Internet dans les deux jours suivant la publication par les chercheurs en sécurité du code d’exploitation de preuve de concept.

Laisser un commentaire