Le fournisseur de virtualisation et de cloud VMware a dévoilé cette semaine huit vulnérabilités dans cinq de ses produits et a exhorté les utilisateurs de Workspace One Access et de tous ses produits qui incluent des composants Identity Manager à corriger immédiatement. Trois de ces failles ont été jugées critiques sur l'échelle CVSSv3 - deux d'entre elles contiennent la possibilité d'exécution de code à distance, tandis que la troisième donne à un acteur malveillant le moyen de contourner les systèmes d'authentification des utilisateurs de VMware pour exécuter des opérations non autorisées.
Une vulnérabilité critique, CVE-2022-22954, est centrée sur l'injection de modèles côté serveur dans Workspace One Access et Identity Manager comme méthode possible d'exécution de code à distance, et nécessite uniquement l'accès au réseau sur lequel les services s'exécutent. Une autre RCE dans Workspace One Access, Identity Manager et vRealize Automation est signalée à la fois en tant que CVE-2022-22957 et CVE-2022-22958, et accorde à un pirate, disposant d'un accès administratif, le contrôle des systèmes via une URI Java Database Connectivity malveillante . Le contournement de l'authentification de l'utilisateur, étiqueté CVE-2022-22955 et CVE-2022-22956, fonctionne en exploitant les endpoints exposés dans l'infrastructure d'authentification de Workspace One Access.
Des failles de sécurité critiques à éliminer sans délai
Selon Ian McShane, vice-président de la stratégie chez Arctic Wolf, fournisseur en solutions de cybersécurité, ces vulnérabilités sont vraiment graves et soulignent l'urgence d'appliquer des correctifs notamment sur les plus critiques. « Dans n'importe quelle entreprise, contrôler tout changement devrait être une pratique exemplaire », a-t-il déclaré. « Mais [les failles de sécurité critiques] nécessitent des actions immédiates et sont celles qui doivent être éliminées sans testing. » Yaron Tal, fondateur et CTO de Reposify, start-up israélienne spécialisée dans les évaluations des menaces basées sur l'IA, a déclaré que les vulnérabilités de type RCE laissaient essentiellement les cybercriminels « se propager » dans les systèmes compromis, en volant des informations d'identification, des données sensibles et en diffusant des malwares.
« Avec du RCE, un code externe non privilégié peut s'exécuter à distance sur n'importe quelle machine vulnérable du réseau », a-t-il déclaré. « Les pirates ont alors les mains libres pour réaliser des attaques avec un impact dévastateur. Il n'y a alors plus de répit : les données peuvent être perdues ou volées, les communications transmises par proxy à un emplacement distant, les données de l'entreprise copiées sur des disques privés ou la réputation de l'entreprise endommagée par un contenu explicite. Tous ces scénarios sont des possibilités très réels et légitimes.
Un timing d'application de correctifs parfois compliqué
Selon Ian McShane, l'application immédiate de correctifs pourrait être difficile pour certaines entreprises, en particulier celles qui ont des accords de niveau de service et des contrats pour un niveau de disponibilité donné, car elles peuvent avoir besoin de redémarrer les systèmes concernés pour l'application de correctifs. « L'organisation de chacun a des environnements différents et des besoins différents », a-t-il indiqué.
Yaron Tal a confirmé que les correctifs revêtaient un caractère urgent et a noté que cela pourrait être un inconvénient pour les clients de VMware. « Nous ne connaissons pas le mécanisme de correction en détail, mais ce que nous pouvons dire avec certitude, c'est que les systèmes de gestion des accès doivent fonctionner 24h/24 et 7j/7, et les correctifs ne peuvent pas être appliqués sans éteindre le système », explique le dirigeant de Reposify. « Les correctifs sont généralement appliqués à des moments prédéterminés (comme Noël, Thanksgiving) lorsque l'environnement de l'espace de travail est calme pour minimiser autant que possible les temps d'arrêt. »
VMware a attribué à Steven Seeley du Qihoo 360 Vulnerability Research Institute la découverte des failles.
Commentaire