Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Cloud Foundation (vCenter Server) versions 3.x antérieures à 3.10.2.1
  • Cloud Foundation (vCenter Server) versions 4.x antérieures à 4.2.1
  • vCenter Server versions 6.5 antérieures à 6.5 U3p
  • vCenter Server versions 6.7 antérieures à 6.7 U3n
  • vCenter Server versions 7.0 antérieures à 7.0 U2b

Résumé

Le 25 mai 2021, VMware a publié un correctif pour la vulnérabilité CVE-2021-21985 affectant le greffon Virtual SAN Health Check qui est installé par défaut dans vCenter Server.

L'exploitation de cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire à distance avec un haut niveau de privilèges. De plus, des codes d'attaques sont disponibles publiquement pour la vulnérabilité CVE-2021-21985 et le CERT-FR a connaissance d'exploitations actives de celle-ci.

Le CERT-FR rappelle que les interfaces de gestion ne doivent pas être accessibles directement sur internet. Toutefois, le CERT-FR constate la disponibilité d'un certain nombre d'interfaces de gestion vCenter sur internet. A ce sujet, l'ANSSI a publié les guides suivants concernant l'accès sécurisé à distance :

Contournement provisoire

Dans la foire au questions concernant l'avis VMSA-2021-0010 (cf. section Documentation), VMware déconseille la désactivation du greffon vSAN pour des périodes prolongées.

L'application du correctif est donc la seule solution pour se protéger efficacement contre la vulnérabilité CVE-2021-21985.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation