VMware vCenter : cette vulnérabilité découverte en 2021 reste sans correctif de sécurité
VMware informe ses utilisateurs qu'une faille de sécurité découverte en novembre 2021 au sein de vCenter Server présente dans le mécanisme d'authentification IWA (Integrated Windows Authentication) est toujours en attente d'un correctif.
En exploitant cette vulnérabilité associée à la référence CVE-2021-22048 (score CVSSv3 de 7,1 sur 10), un attaquant sans droits d'administration sur un serveur VMware vCenter peut élever ses privilèges en bénéficiant des droits d'un groupe avec plus de privilèges. Dans le bulletin de sécurité de VMware, on peut lire : "Le serveur vCenter contient une vulnérabilité d'élévation de privilèges dans le mécanisme d'authentification IWA (Integrated Windows Authentication)". En fait, cela permet de s'authentifier à partir de ses informations d'identification Windows.
Signalée à VMware le 10 novembre 2021 par Yaron Zinar et Sagi Sheinfeld de chez CrowdStrike, cette vulnérabilité a reçu un correctif de sécurité en juillet 2022, notamment pour les serveurs avec la version vCenter Server 7.0 Update 3f (dernière version disponible à cette date). Toutefois, 11 jours plus tard, VMware a retiré le correctif car il ne corrigeait pas correctement la vulnérabilité et qu'il causait des problèmes avec le service Secure Token Service. VMware précise : "VMware a déterminé que les mises à jour de vCenter 7.0u3f mentionnées précédemment dans la matrice de réponse ne corrigent pas CVE-2021-22048 et introduisent un problème fonctionnel."
Pour le moment, il n'existe toujours pas de correctif pour cette faille de sécurité. En attendant, VMware propose tout de même une solution temporaire à ses utilisateurs. L'entreprise américaine recommande aux administrateurs de basculer sur l'authentification Active Directory ou sur le mode Identity Provider Federation for AD FS (uniquement pour vSphere 7.0), au lieu de la méthode IWA.
Il y a des documentations disponibles sur le site de VMware pour vous guider :
- Configuring a vCenter Single Sign-On Identity Source using LDAP with SSL (LDAPS) (2041378)
- Active Directory over LDAP and OpenLDAP Server Identity Source Settings
Cette faille de sécurité affecte VMware vCenter Server 6.5, 6.7, 7.0 ainsi que la dernière version : 8.0. Par ailleurs, la version Cloud Foundation est également impactée.
