VMware patch un contournement d’authentification dans son logiciel

0

VMware a adressé une vulnérabilité critique dans VMware Carbon Black Cloud Workload qui pourrait permettre aux attaquants de contourner l’authentification après avoir exploité des serveurs vulnérables.

Carbon Black Cloud Workload est un logiciel de sécurité de centre de données Linux conçu pour protéger les charges de travail en cours d’exécution dans des environnements virtualisés.

Il regroupe également les capacités de protection des points de terminaison, y compris la détection et la réponse des points de terminaison, l’antivirus de nouvelle génération et la chasse aux menaces en temps réel.

Cette faille de sécurité a un impact sur la version 1.0.1 de Carbon Black Cloud Workload et les versions antérieures.

L’interface d’administration exploitable pour le contournement d’authentification

Les attaquants peuvent exploiter la faille de sécurité identifiée sous le nom de CVE-2021-21982 en manipulant une URL d’interface administrative pour obtenir des jetons d’authentification valides.

En utilisant ce jeton d’authentification, l’individu malveillant peut alors accéder à l’API d’administration de VMware Carbon Black Cloud Workload.

L’exploitation réussie de la faille de sécurité permet à l’attaquant de visualiser et de modifier les paramètres de configuration administrative.

CVE-2021-21982 peut être exploité par les attaquants à distance sans nécessiter d’authentifications ou d’interaction avec l’utilisateur dans des attaques de faible complexité.

VMware a évalué la vulnérabilité comme étant de gravité critique, lui attribuant un score CVSSv3 de 9,1/10.

La vulnérabilité a été découverte et signalée en privé à VMware par Egor Dimitrenko, chercheur en sécurité web chez Positive Technologies.

Une mitigation est aussi disponible

VMware a également émis des informations de mitigation pour les administrateurs qui ne peuvent pas immédiatement patcher VMware Carbon Black Cloud Workload.

La suppression de l’accès à distance de l’interface administrative locale de l’appareil suffit à supprimer le vecteur d’attaque, comme le conseille l’entreprise.

« Les meilleures pratiques de VMware recommandent la mise en place de contrôles réseau pour limiter l’accès à l’interface administrative locale de l’appareil », a déclaré la société.

« L’accès illimité au réseau à cette interface n’est pas nécessaire pour le fonctionnement régulier du produit. »

VMware a aussi corrigé deux autres vulnérabilités trouvées par Dimitrenko dans la plate-forme de gestion des opérations informatique vRealize Operations.

Lorsqu’ils sont associés, les deux bogues conduisent à l’exécution de code à distance pré-authentification sur les serveurs vulnérables vRealize Operations.

Laisser un commentaire