Les utilisateurs des solutions vCenter Server et Cloud Foundation doivent se montrer très vigilants et réagir dès que possible. VMware a en effet publié un bulletin de sécurité alertant de trois failles critiques affectant ces produits. Des correctifs sont disponibles et à appliquer dès à présent. C'est loin d'être la première fois que vCenter Server et Cloud Foundation sont concernés par des failles. En début d'année, des cyber-espions chinois avaient pendant un an et demi exploité une zero day en toute discrétion.
"Un acteur malveillant disposant d'un accès réseau à vCenter Server peut déclencher ces vulnérabilités en envoyant un paquet réseau spécialement conçu, ce qui pourrait entraîner l'exécution d'un code à distance", prévient VMware à propos des failles CVE-2024-37079 et CVE-2024-37080 (score CVSS 9.8). Concernant la CVE-2024-37081 (score CVSS 7.8), la société précise "qu'un utilisateur local authentifié avec des privilèges non-administrateurs peut exploiter ces problèmes pour élever ses privilèges au niveau de root sur vCenter Server Appliance." Les CVE-2024-37079 et CVE-2024-37080 ont été remontées à l'éditeur par les chercheurs en sécurité Hao Zheng et Zibo Li de l'équipe TianGong de Legendsec du groupe Qi'anxin, et la CVE-2024-37081 par Matei Badanoiu de Deloitte Roumanie.
Impacts et correctifs éventuels inconnus pour les anciennes versions de vCenter Server
Des correctifs sont disponibles et doivent être appliqués dans les meilleurs délais. Pour vCenter Server 8.0 il faut passer à la 8.0 U2d ou 8.0 U2e, et pour vCenter Server 7.0 installer la 7.0 U3r. Concernant les utilisateurs de Cloud Foundation 5.x et 4.x, les failles sont comblées dans le correctif KB88287.
En revanche, VMware n'a fait aucune mention concernant l'impact de ces failles sur d'anciennes versions de vSphere Server, en particulier les v6.5 et v6.7, dont le support a pris fin en octobre 2022 mais qui sont encore largement utilisées. Reste à savoir si les plus anciennes versions ne sont pas concernées, le cas échéant s'agit-il d'un simple oubli de la part de VMware ou d'une absence de correctifs pour inciter à des montées de versions ?
J'ai déjà évoqué la question précédemment : pour pouvoir télécharger des versions corrigées des logiciels VMware, il faut disposer d'un compte, à priori nominatif (plus de liste de distribution pourtant tellement pratique pour une équipe de production), associé à un ou plusieurs identifiants de contrats. Nous avions tout ça chez VMware.
Signaler un abusDepuis le passage chez Broadcom, nous attendons depuis deux mois que le support Broadcom veuille bien daigner nous redonner la visibilité sur les produits que nous avons pourtant payés ...
Malgré des sollicitations répétées au support Broadcom et à notre contact commercial, toujours rien ! Nous atteignons des sommets de désinvolture, carrément de "foutage de gueule" en langage plus cru.
En attendant, nous ne pouvons plus télécharger de correctifs pour les produits VCSA et ESXi que nous utilisons, que nous avons pourtant payés et dont nous conservons des versions avec les multiples vulnérabilités annoncées ...