Plusieurs vulnérabilités VMware critiques identifiées

Annonce de service : VMware a conseillé à ses clients de corriger immédiatement les vulnérabilités critiques de plusieurs produits pour se protéger contre le risque que des acteurs malveillants lancent des attaques.

Maintenant, VMware a confirmé qu’aucune attaque n’a été observée – cependant, suite à la divulgation publique des vulnérabilités, des attaques sont susceptibles de se produire et vous devez être préparé.

Les vulnérabilités identifiées incluent :

• Une vulnérabilité d’exécution de code à distance par injection de modèle côté serveur (CVE-2022-22954)
• Deux vulnérabilités de contournement d’authentification OAuth2 ACS (CVE-2022-22955, CVE-2022-22956)
• Deux vulnérabilités d’exécution de code à distance par injection JDBC (CVE-2022-22957, CVE-2022-22958)

En plus de cela, VMware a également corrigé des bogues de gravité élevée et moyenne, qui pourraient être exploités pour des attaques Cross-Site Request Forgery (CSRF) (CVE-2022-22959), élever les privilèges (CVE-2022-22960) et pour obtenir accès aux informations sans autorisation (CVE-2022-22961).

Produits VMware concernés par ces vulnérabilités :

• VMware vRealize Automation (vRA)
• Gestionnaire d’identité VMware (vIDM)
• VMware Cloud Foundation
• Accès à VMware Workspace ONE (accès)
• Gestionnaire de cycle de vie vRealize Suite

Quels sont les exploits ?

• Exécution de code à distance (RCE) : permet à un attaquant d’exécuter à distance un code malveillant sur un ordinateur – parfois sans autorisation ou permission – qui peut entraîner l’exécution d’un logiciel malveillant ou l’attaquant prenant le contrôle total d’une machine compromise
• Contournement d’authentification : une faille dans une application qui permet aux utilisateurs d’accéder aux ressources de l’application sans authentification
• Exécution de code à distance JDBC (Java Database Connectivity) : une API pour le langage de programmation Java, qui définit comment un client peut accéder à une base de données. Semblable à une attaque par injection SQL, un utilisateur peut créer des instructions Java spéciales à insérer dans un champ de saisie pour exécution (par exemple, pour vider le contenu de la base de données) à distance via un jeu de commandes spécial (RCE)
• Contrefaçon de requête intersite (CSRF) : une attaque qui incite l’utilisateur final à exécuter des actions indésirables sur une application Web au nom de l’attaquant, souvent réalisée en envoyant un lien par e-mail ou chat
• Élévation de privilège : l’exploitation d’un bogue, d’un système d’exploitation ou d’une application logicielle pour obtenir un accès élevé à des ressources qui sont généralement protégées contre une application ou une utilisation

Correctifs pour les vulnérabilités VMware critiques

VMware a publié une liste complète des versions corrigées, des détails sur le risque en cas de non-correction et des liens vers des installateurs de correctifs, ainsi que des solutions temporaires ou des solutions de contournement pour les organisations où les appliances ne peuvent pas être immédiatement corrigées. Cela inclut les étapes d’exécution d’un script Python fourni par VMware sur les dispositifs virtuels concernés.

Veuillez noter que le seul moyen de remédier véritablement aux vulnérabilités mises en évidence consiste à appliquer des correctifs complets aux systèmes.

Il s’agit d’un événement en cours et nous continuons à suivre les développements. Si vous avez des questions ou avez besoin d’assistance, veuillez contacter notre service informatique au 01904 562207 ou email [email protected].