VMware: une faille critique de divulgation d’information

Une faille critique de divulgation d’informations dans le service d’annuaire de VMware (vmdir) pourrait exposer le contenu de toutes les infrastructures virtuelles d’entreprise, si elle était exploitée par des cybercriminels.

Le vmdir fait partie du produit vCenter Server de VMware, qui fournit une gestion centralisée des hôtes virtualisés et des machines virtuelles (VM) à partir d’une seule console. Selon la description du produit, «un seul administrateur peut gérer des centaines de charges de travail».

Ces charges de travail sont régies par un mécanisme d’authentification unique (SSO) pour faciliter les choses pour les administrateurs. Plutôt que d’avoir à se connecter à chaque hôte ou machine virtuelle avec des informations d’identification distinctes pour y accéder, un mécanisme d’authentification fonctionne sur l’ensemble de la console de gestion.

Le vmdir est à son tour un composant central du vCenter SSO (avec le Security Token Service, un serveur d’administration et le vCenter Lookup Service). Selon VMware, vmdir est utilisé pour la gestion des certificats des charges de travail régies par vCenter.

vmware

La faille de sécurité critique (CVE-2020-3952) a été révélée et corrigée la semaine dernière. Elle a un score de 10 sur 10 sur l’échelle de gravité de vulnérabilité CVSS v.3. Le problème est causé par un contrôle d’accès mal implémenté, selon le rapport de la faille, qui pourrait permettre à un individu malveillant de contourner les mécanismes d’authentification.

«Dans certaines conditions, le vmdir fourni avec VMware vCenter Server, dans le cadre d’un Platform Services Controller (PSC) intégré ou externe, n’implémente pas correctement les contrôles d’accès», explique le rapport.

Quant au vecteur d’attaque, «un individu malveillant ayant un accès réseau à un déploiement d’une version de vmdir vulnérable peut être en mesure d’extraire des informations très sensibles», a noté VMware. À leur tour, ces informations pourraient être utilisées pour compromettre vCenter Server lui-même «ou d’autres services qui dépendent de vmdir pour l’authentification».

Il est recommandé aux administrateurs d’appliquer les patchs de sécurité dès que possible pour éviter l’exploitation de cette faille de sécurité.

Les versions vCenter Server 6.7 (PSC intégré ou externe) antérieures à 6.7u3f sont affectées par CVE-2020-3952 si elles ont été mises à niveau à partir d’une version précédente telle que 6.0 ou 6.5. Les installations propres de vCenter Server 6.7 (PSC intégré ou externe) ne sont pas affectées, selon la société. Pour aider les administrateurs à savoir si leurs implémentations de vmdir sont affectés par CVE-2020-3952, le fournisseur a publié un document de connaissances pratiques de base.

vmware vsphere

«VMware est l’une des sociétés de logiciels de virtualisation les plus populaires au monde et a récemment corrigé une vulnérabilité de divulgation d’informations extrêmement critique… l’une des vulnérabilités les plus graves qui ont affecté les logiciels VMware», a déclaré Chris Hass, directeur de la sécurité et de la recherche de l’information chez Automox. «VCenter Server fournit une plate-forme centralisée pour contrôler les environnements VMware vSphere, il aide à gérer l’infrastructure virtuelle dans un nombre énorme de clouds hybrides, ce qui veut dire que la portée et l’impact de cette vulnérabilité sont assez importants. Les organisations utilisant vCenter doivent vérifier leurs logs vmdir pour les versions affectées, leur ACL MODE: hérité, et appliquer les patchs de sécurité immédiatement.»

Une communication minimale de VMware

Il n’y pas vraiment eu de prise de connaissance publique de l’existence de la faille de sécurité. VMware a seulement dévoilé que l’existence de la faille avait été «partagée en privé».

Si cet article vous a plu, jetez un œil à notre article précédent.