février 28, 2021

Plus de 6700 serveurs VMware exposés en ligne et vulnérables à un nouveau bogue majeur

Par andy1712


vmware-vcenter.jpg

Image: VMware, ZDNet

Plus de 6700 serveurs VMware vCenter sont actuellement exposés en ligne et vulnérables à une nouvelle attaque qui peut permettre aux pirates de prendre le contrôle d’appareils non corrigés et de prendre efficacement en charge l’ensemble des réseaux des entreprises.

Des analyses des périphériques VMware vCenter sont actuellement en cours, selon la société de renseignement sur les menaces Bad Packets.

Les analyses ont commencé plus tôt dans la journée après un chercheur chinois en sécurité publié du code de preuve de concept sur leur blog pour une vulnérabilité suivie comme CVE-2021-21972.

Cette vulnérabilité affecte vSphere Client (HTML5), un plug-in de VMware vCenter, un type de serveur généralement déployé dans les réseaux de grandes entreprises en tant qu’utilitaire de gestion centralisé par lequel le personnel informatique gère les produits VMware installés sur les postes de travail locaux.

L’année dernière, la société de sécurité Positive Technologies a découvert qu’un attaquant pouvait cibler l’interface HTTPS de ce plugin vCenter et exécuter du code malveillant avec des privilèges élevés sur l’appareil sans avoir à s’authentifier.

En raison du rôle central d’un serveur vCenter dans les réseaux d’entreprise, le problème a été classé comme hautement critique et signalé en privé à VMware, qui a publié patchs officiels hier, le 23 février 2021.

En raison du grand nombre d’entreprises qui exécutent le logiciel vCenter sur leurs réseaux, Positive Technologies initialement prévu pour garder secrets les détails de ce bogue jusqu’à ce que les administrateurs système aient suffisamment de temps pour tester et appliquer le correctif.

Cependant, le code de preuve de concept publié par le chercheur chinois, et autres, a effectivement refusé aux entreprises toute période de grâce pour appliquer le correctif et a également lancé une analyse de masse gratuite pour tous les systèmes vCenter vulnérables restés connectés en ligne, les pirates se dépêchant de compromettre les systèmes avant les gangs rivaux.

Pour aggraver les choses, l’exploit de ce bogue est également une requête cURL sur une ligne, ce qui facilite l’automatisation des attaques, même pour les acteurs peu qualifiés.

Selon une requête Shodan, plus de 6 700 serveurs VMware vCenter sont actuellement connectés à Internet. Tous ces systèmes sont désormais vulnérables aux attaques par OPA si les administrateurs ne parviennent pas à appliquer les correctifs CVE-2021-21972 d’hier.

VMware a pris ce bogue très au sérieux et a attribué un score de gravité de 9,8 sur un maximum de 10 et exhorte désormais les clients à mettre à jour leurs systèmes dès que possible.

En raison du rôle critique et central que jouent les serveurs VMware vCenter dans les réseaux d’entreprise, une compromission de ce périphérique pourrait permettre aux attaquants d’accéder à tout système connecté ou géré via le serveur central.

Ce sont les types d’appareils que les acteurs de la menace (appelés «courtiers d’accès au réseau») aiment compromettre puis vendre sur des forums de cybercriminalité clandestins à des gangs de ransomwares, qui chiffrent ensuite les fichiers des victimes et exigent d’énormes rançons. En outre, des gangs de ransomwares comme Darkside et RansomExx ont déjà commencé à s’attaquer aux systèmes VMware l’année dernière, montrant à quel point le ciblage de ces réseaux d’entreprise basés sur des VM peut être efficace.

Puisqu’un PoC est désormais ouvert, Positive Technologies a également décidé de publier un rapport technique approfondi sur le bogue, afin que les défenseurs du réseau puissent apprendre comment l’exploit fonctionne et préparer des défenses supplémentaires ou des outils d’investigation pour détecter les attaques passées.