Les utilisateurs des solutions vCenter Server et Cloud Foundation doivent se montrer très vigilants et réagir dès que possible. VMware a en effet publié un bulletin de sécurité alertant de trois failles critiques affectant ces produits. Des correctifs sont disponibles et à appliquer dès à présent. C'est loin d'être la première fois que vCenter Server et Cloud Foundation sont concernés par des failles. En début d'année, des cyber-espions chinois avaient pendant un an et demi exploité une zero day en toute discrétion.
"Un acteur malveillant disposant d'un accès réseau à vCenter Server peut déclencher ces vulnérabilités en envoyant un paquet réseau spécialement conçu, ce qui pourrait entraîner l'exécution d'un code à distance", prévient VMware à propos des failles CVE-2024-37079 et CVE-2024-37080 (score CVSS 9.8). Concernant la CVE-2024-37081 (score CVSS 7.8), la société précise "qu'un utilisateur local authentifié avec des privilèges non-administrateurs peut exploiter ces problèmes pour élever ses privilèges au niveau de root sur vCenter Server Appliance." Les CVE-2024-37079 et CVE-2024-37080 ont été remontées à l'éditeur par les chercheurs en sécurité Hao Zheng et Zibo Li de l'équipe TianGong de Legendsec du groupe Qi'anxin, et la CVE-2024-37081 par Matei Badanoiu de Deloitte Roumanie.
Impacts et correctifs éventuels inconnus pour les anciennes versions de vCenter Server
Des correctifs sont disponibles et doivent être appliqués dans les meilleurs délais. Pour vCenter Server 8.0 il faut passer à la 8.0 U2d ou 8.0 U2e, et pour vCenter Server 7.0 installer la 7.0 U3r. Concernant les utilisateurs de Cloud Foundation 5.x et 4.x, les failles sont comblées dans le correctif KB88287.
En revanche, VMware n'a fait aucune mention concernant l'impact de ces failles sur d'anciennes versions de vSphere Server, en particulier les v6.5 et v6.7, dont le support a pris fin en octobre 2022 mais qui sont encore largement utilisées. Reste à savoir si les plus anciennes versions ne sont pas concernées, le cas échéant s'agit-il d'un simple oubli de la part de VMware ou d'une absence de correctifs pour inciter à des montées de versions ?