Selon l’alerte lancée par des chercheurs d’Akamai, une vulnérabilité corrigée ce mois-ci dans VMware Aria Operations for Networks, anciennement vRealize Network Insight, est maintenant exploitée en masse. Classée comme critique, la faille permet l'exécution de code à distance par injection de commande. « Les dernières données d'Akamai indiquent une analyse active des sites vulnérables à la faille référencée CVE-2023-20887, bien au-delà de ce qui avait été initialement signalé », ont déclaré des chercheurs d'Akamai par courriel. « Jusqu'à présent, nous avons comptabilité 695 072 attaques totales par 508 adresses IP uniques », ont-ils ajouté. Akamai a également observé que plus de 27 000 sites de ses clients étaient scannés.
D’autres failles dans VMware Aria Operations
VMware a publié le 7 juin des correctifs pour la vulnérabilité CVE-2023-20887, ainsi que des correctifs pour deux autres failles dans Aria Operations for Networks, dont l'une est également critique et peut conduire à l'exécution de code à distance. Alors que la vulnérabilité CVE-2023-20887 est une faille d'injection de commande, la seconde vulnérabilité, portant la référence CVE-2023-20888, résulte d’un problème de désérialisation. Dans les langages de programmation, la sérialisation est le processus de transformation des données en un flux d'octets pour la transmission à une autre application et la désérialisation est l'inverse de ce processus. Comme les routines de désérialisation impliquent l'analyse et l'interprétation de données contrôlées par l'utilisateur, elles sont à l’origine de nombreuses vulnérabilités. Les attaquants peuvent exploiter les vulnérabilités CVE-2023-20887 et CVE-2023-20888 s'ils disposent d'un accès réseau à l'application vulnérable. Cependant, cette dernière exige aussi que l'attaquant dispose des identifiants du « membre » pour effectuer l'attaque, ce qui complique son exploitation. La troisième vulnérabilité, référencée CVE-2023-20889, est une vulnérabilité d'injection de commande qui peut conduire à la divulgation d'informations sensibles. Elle est affectée du score 8.8 (élevé) sur l'échelle de gravité CVSS.
VMware conseille à ses clients de déployer les correctifs disponibles pour leur version respective dès que possible. Le fournisseur a mis à jour son avis le 13 juin pour avertir que le code d'exploitation pour la faille CVE-2023-20887 avait été publié, puis le 20 juin pour avertir qu'une exploitation active de cette faille avait lieu dans la nature. Selon Akamai et les données télémétriques du service de surveillance des attaques GreyNoise, le nombre d'attaques a augmenté depuis. L'agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) a ajouté la vulnérabilité référencée CVE-2023-20887 à son catalogue de vulnérabilités activement exploitées Actively Exploited Vulnerabilities, ainsi que les failles d'iOS exploitées dans le cadre de l'opération Triangulation et une faille d'injection de commande dans les dispositifs de stockage en réseau de Zyxel. Une faille de contournement de l'authentification dans VMware Tools (CVE-2023-20867) a également été ajoutée au catalogue après avoir été exploitée en tant que zero-day par un acteur chinois de cyberespionnage pour exécuter des commandes à l'intérieur de machines virtuelles invitées à partir d'un hôte compromis.
Plusieurs failles corrigées dans vCenter
La semaine dernière, VMware a par ailleurs publié des correctifs pour cinq vulnérabilités identifiées dans son produit vCenter Server qui permet aux administrateurs de gérer l'infrastructure virtuelle : CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895 et CVE-2023-20896. Classées avec un niveau de gravité de 8.1 (élevé) sur l'échelle CVSS, les quatre premières failles peuvent conduire à l'exécution de code arbitraire, à la corruption de la mémoire et au contournement de l'authentification. Quant à la cinquième faille, affectée du score de gravité de 5,9, son exploitation peut entraîner un déni de service. Même si aucun rapport n'indique que ces vulnérabilités ont été exploitées dans la nature, les attaquants ont ciblé des failles dans les produits VMware. Les utilisateurs de l’éditeur sont invités à déployer les correctifs disponibles dès que possible.
Commentaire