S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 07 juin 2021
N° CERTFR-2021-ALE-011
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans VMware vCenter Server

Gestion du document

Référence CERTFR-2021-ALE-011
Titre Vulnérabilité dans VMware vCenter Server
Date de la première version07 juin 2021
Date de la dernière version19 octobre 2021
Source(s) Bulletin de sécurité VMware VMSA-2021-0010 du 25 mai 2021
Avis de sécurité CERT-FR CERTFR-2021-AVI-403 du 26 mai 2021
Bulletin d'actualité CERT-FR CERTFR-2021-ACT-023 du 31 mai 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Cloud Foundation (vCenter Server) versions 3.x antérieures à 3.10.2.1
  • Cloud Foundation (vCenter Server) versions 4.x antérieures à 4.2.1
  • vCenter Server versions 6.5 antérieures à 6.5 U3p
  • vCenter Server versions 6.7 antérieures à 6.7 U3n
  • vCenter Server versions 7.0 antérieures à 7.0 U2b

Résumé

Le 25 mai 2021, VMware a publié un correctif pour la vulnérabilité CVE-2021-21985 affectant le greffon Virtual SAN Health Check qui est installé par défaut dans vCenter Server.

L'exploitation de cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire à distance avec un haut niveau de privilèges. De plus, des codes d'attaques sont disponibles publiquement pour la vulnérabilité CVE-2021-21985 et le CERT-FR a connaissance d'exploitations actives de celle-ci.

Le CERT-FR rappelle que les interfaces de gestion ne doivent pas être accessibles directement sur internet. Toutefois, le CERT-FR constate la disponibilité d'un certain nombre d'interfaces de gestion vCenter sur internet. A ce sujet, l'ANSSI a publié les guides suivants concernant l'accès sécurisé à distance :

Contournement provisoire

Dans la foire au questions concernant l'avis VMSA-2021-0010 (cf. section Documentation), VMware déconseille la désactivation du greffon vSAN pour des périodes prolongées.

L'application du correctif est donc la seule solution pour se protéger efficacement contre la vulnérabilité CVE-2021-21985.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 07 juin 2021
    Version initiale
    le 19 octobre 2021
    Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.