Panique à bord ! La semaine dernière, on a appris la présence d’une vulnérabilité critique dans vCenter Server. Un exploit a été publié et la faille serait actuellement utilisée par des attaquants. Il est donc urgent de prendre les mesures appropriées.
Le 21 septembre, VMware publie une liste de plusieurs vulnérabilités. Parmi elles, CVE-2021-2005 est critique, avec un score CVSSv3 de 9,8. Cette faille, présente dans le vCenter Server, consiste en une vulnérabilité de téléchargement de fichier arbitraire dans le service Analytics, laquelle permet à un attaquant, doué d’un accès au réseau local, d’exécuter du code malveillant.
L’éditeur déploie correctifs et solutions de contournement, sans toutefois sonner l’alerte générale… jusqu’au 24 septembre. En effet, dans les trois jours suivant la révélation de cette faille, un exploit est publié et plusieurs chercheurs, dont la société Censys, rapporte que la faille est activement exploitée.
Exploitée "in the wild"
Au moment où Censys a écrit son post de blog, environ un millier d’hôtes exposés sur Internet étaient encore vulnérables. Dans son alerte, la CISA américaine explique, « en raison de la disponibilité du code d'exploitation, s'attendre à une exploitation généralisée de cette vulnérabilité ».
Chez VMware, le ton se fait immédiatement plus alarmiste. Dans une Q&A, à la question « quand réagir ? », le spécialiste de la virtualisation répond « immédiatement, les ramifications de cette vulnérabilité sont graves ». « Avec la menace des ransomwares qui se profile de nos jours, la position la plus sûre consiste à supposer qu'un attaquant peut déjà avoir le contrôle d'un ordinateur et d'un compte utilisateur grâce à l'utilisation de techniques telles que le phishing ou le spearphishing, et d'agir en conséquence. Cela signifie que l'attaquant peut déjà être en mesure d'atteindre vCenter Server depuis l'intérieur d'un pare-feu d'entreprise et que le temps presse » poursuit VMware.