Cyberattaques VMware vCenter : la faille de sécurité critique « CVE-2023-34048 » est exploitée !
VMware a mis à jour un bulletin de sécurité publié en octobre 2023 pour alerter ses utilisateurs au sujet de la vulnérabilité CVE-2023-34048 : elle est exploitée dans le cadre de cyberattaques ! Faisons le point sur cette menace.
En octobre 2023, VMware avait publié un bulletin de sécurité pour deux failles de sécurité CVE-2023-34048 et CVE-2023-34056, mais c'est bien la première qui est critique et désormais exploitée par les cybercriminels au sein d'attaques. Dans le bulletin de sécurité de VMware, nous pouvons lire : "VMware a confirmé que l'exploitation de CVE-2023-34048 a eu lieu dans la nature."
Cette vulnérabilité critique (score CVSS de 9.8 sur 10 !) se situe dans l'implémentation du protocole DCE/RPC dans VMware vCenter Server. L'éditeur précise qu'"un attaquant disposant d'un accès réseau à vCenter Server peut déclencher une écriture hors limites conduisant potentiellement à l'exécution de code à distance."
Il est fort probable que cette vulnérabilité soit exploitée par des gangs de ransomware puisqu'ils apprécient particulièrement les infrastructures de virtualisation, et plus particulièrement les hyperviseurs VMware ESXi. Le fait de compromettre un serveur VMware vCenter peut permettre de prendre le contrôle de l'infrastructure virtualisée sous-jacente.
Comment se protéger ?
Vous devez installer le correctif de sécurité mis à disposition par VMware pour vous protéger, car il n'existe pas de mesure d'atténuation ! Mais, vous l'avez peut être déjà fait puisque cette vulnérabilité est connue et patchée depuis plusieurs mois. Il est important de noter que VMware a également fait l'effort de publier des correctifs pour plusieurs versions en fin de vie et dont le support est déjà terminé.
"Bien que VMware ne mentionne pas les produits en fin de vie dans ses avis de sécurité, en raison de la gravité de cette vulnérabilité et de l'absence de solution de workaround, VMware a mis à disposition un correctif pour vCenter Server 6.7U3, 6.5U3 et VCF 3.x. Pour les mêmes raisons, VMware a mis à disposition des correctifs supplémentaires pour vCenter Server 8.0U1.", peut-on lire sur le site de VMware.
Voici les versions patchées :
- VMware vCenter Server 8.0U2 (au minimum)
- VMware vCenter Server 8.0U1d (au minimum)
- VMware vCenter Server 7.0U3o (au minimum)
Il y a du "boulot" car d'après les données fournies par TheShadowServer, il y a plus de 500 serveurs vCenter exposés sur Internet et vulnérables ! Un filtre sur la France permet de se rendre qu'il y a 30 serveurs vulnérables associés à des adresses IP françaises.
Bonjour,
Il faut quand même être sacrément… naïf/idiot/irresponsable/incompétent… pour autoriser l’accès à un vCenter directement depuis Internet.
Je me demande si ceux que l’on traiterait de criminels dans ce cas je sont pas plutôt des ‘gentils’ conseillers en sécurité prêt à se dévouer pour rappeler les bonnes pratiques 🤣🤣
Personnellement cela fait quelques temps déjà que j’envisage d’isoler ce type d’élément y compris de mes LAN de ‘production’ et c’est d’ailleurs ce que j’ai trouvé en changeant d’ employeur (et aussi d’échelle d’ infra j’avoue 🤫)
Bref, il y a toujours des personnes à qui il fait rappeler les bases et dans ce domaine c’est triste.
Bonne année à tous quand même 😘