Des failles de sécurité RCE ont été corrigées dans VMware vCenter : patchez votre serveur !
Plusieurs failles de sécurité critiques ont été corrigées dans la solution VMware vCenter Server ! Ces faiblesses permettent d'exécuter du code à distance sur le serveur et d'élever ses privilèges en local. Faisons le point.
Pour rappel, la solution vCenter Server joue un rôle clé sur les infrastructures VMware puisqu'elle permet de centraliser la gestion des serveurs VMware ESXi et de leurs machines virtuelles. Compromettre le serveur vCenter offre à l'attaquant la possibilité de prendre le contrôle complet de l'infrastructure virtualisée.
Sur le site de support de Broadcom, désormais propriétaire de VMware depuis plusieurs mois, un nouveau bulletin de sécurité a été mis en ligne pour évoquer ces 3 nouvelles failles de sécurité : CVE-2024-37079, CVE-2024-37080, et CVE-2024-37081.
Voici des précisions sur ces vulnérabilités :
- CVE-2024-37079 - Score CVSS v3.1 de 9.8 sur 10 : une faille de sécurité de type "heap-overflow" dans l'implémentation du protocole DCERPC de vCenter Server. En l'exploitant, un attaquant connecté au réseau du vCenter peut envoyer des paquets spéciaux dans le but d'effectuer une exécution de code à distance sur le serveur pris pour cible.
CVE-2024-37080 - Score CVSS v3.1 de 9.8 sur 10 : une faille de sécurité similaire à la précédente puisqu'elle est aussi de type "heap-overflow" et qu'elle est présente également dans le protocole DCERPC de vCenter Server. Les conséquences sont les mêmes : une potentielle exécution de code à distance sur le serveur vCenter.
- CVE-2024-37081 - Score CVSS v3.1 de 7.8 sur 10 : une faille de sécurité liée à une mauvaise configuration de l'outil "sudo" dans vCenter Server. Grâce à cette vulnérabilité, un utilisateur local authentifié peut élever ses privilèges en tant que "root" sur l'Appliance vCenter Server.
Vous l'aurez compris, nous avons deux failles de sécurité critiques et une faille de sécurité importante. Mais, alors, qui est affecté et comment se protéger ?
vCenter Server : se protéger des CVE-2024-37079, CVE-2024-37080, et CVE-2024-37081
Ces trois vulnérabilités affectent les versions 7.0 et 8.0 de la solution VMware vCenter Server, ainsi que les versions 4.x et 5.x de VMware Cloud Foundation. Ainsi, VMware a publié de nouvelles versions pour patcher ces vulnérabilités. C'est la seule solution pour se protéger, car VMware ne propose pas de solution alternative : "Des solutions de remplacement à l'intérieur du produit ont été étudiées, mais il a été établi qu'elles n'étaient pas viables.", peut-on lire.
Voici les versions faisant office de patch :
En complément, vous pouvez consulter cette FAQ mise à disposition par VMware. Pour les versions Cloud Foundation, référez-vous à cette page.
