Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- vCenter Server versions 7.0 antérieures à 7.0 U1c
- vCenter Server versions 6.7 antérieures à 6.7 U3l
- vCenter Server versions 6.5 antérieures à 6.5 U3n
- Cloud Foundation (vCenter Server) versions 4.x antérieures à 4.2
- Cloud Foundation (vCenter Server) versions 3.x antérieures à 3.10.1.2
Résumé
[version du 26 février 2021]
Le CERT-FR a connaissance d'attaques en cours ciblant des serveurs vCenter exposés sur Internet. Il est urgent de procéder soit à l'application du contournement pour désactiver le greffon vulnérable soit de déployer les versions corrigeant la vulnérabilité.
[version initiale]
Le 23 février 2021, VMware a publié un avis de sécurité concernant trois vulnérabilités (cf. section documentation). La vulnérabilité CVE-2021-21972 est la plus critique. Elle permet une exécution de code arbitraire à distance par un attaquant non authentifié.
Cette vulnérabilité affecte un greffon de vCenter Server permettant la communication entre vCenter Server et la solution VMware vRealize Operations (vROPs). Ce greffon vulnérable est présent dans toutes les installations par défaut de vCenter. VMware précise que l'exploitation de la vulnérabilité est possible même si la solution vRealize Operations n'est pas utilisée.
Des preuves de concept sont disponibles publiquement et le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2021-21972, il est donc urgent d'appliquer le correctif de sécurité.
De plus, le CERT-FR a constaté la présence d'instances de vCenter directement accessibles sur internet. Ceci est contraire aux bonnes pratiques.
Pour rappel, ce type de services ne doit jamais être exposé sur internet. Lorsque cela se révèle absolument nécessaire, il est fortement recommandé de recourir à des solutions d'accès sécurisés à distance.
Ainsi, de manière générale, que ce soit sur le réseau interne ou à distance, des bonnes pratiques d'hygiène informatique et de sécurité en profondeur doivent être appliquées, comme recommandé dans les guides suivants :
- https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
- https://www.ssi.gouv.fr/uploads/2020/06/anssi-guide-passerelle_internet_securisee-v3.pdf
Contournement provisoire
Le CERT-FR recommande l'application du correctif de sécurité. Toutefois, dans les cas où cela n'est pas possible, VMware a publié des mesures de contournement provisoires:
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
Documentation
- Bulletin de sécurité VMWare VMSA-2021-0002 du 23 février 2021
https://www.vmware.com/security/advisories/VMSA-2021-0002.html - Avis de sécurité CERT-FR CERTFR-2021-AVI-145 du 24 février 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-145/ - Référence CVE CVE-2021-21972
https://www.cve.org/CVERecord?id=CVE-2021-21972
