Posté le avril 16, 2022 à 9:55
LE BUG CRITIQUE DANS VMWARE POURRAIT PERMETTRE AUX HACKERS DE LANCER DES ATTAQUES À DISTANCE
Un récent rapport de renseignement sur les menaces a montré qu’il existe une activité de menace en cours liée à la vulnérabilité de VMware Workspace One, qui comprend une opération de minage de crypto-monnaie. Le rapport a révélé que la vulnérabilité critique est en cours d’exploitation active sur le Workspace de VMware.
La vulnérabilité, baptisée CVE-2022-22954, est un bug SSTI (Server-Side Template Injection) qui permet l’exécution de code à distance. Les chercheurs en sécurité ont noté que le bogue affecte l’accès de Workspace One ainsi qu’une partie de sa suite de gestion informatique. La vulnérabilité, ainsi que sept autres vulnérabilités, ont été corrigées le 6 avril, la plupart d’entre elles étant connues pour être des vulnérabilités graves ou critiques. Toutefois, les utilisateurs qui n’ont pas appliqué le correctif sont toujours vulnérables. En outre, des solutions de contournement sont également disponibles.
Le bug peut permettre à un attaquant de lancer des attaques de code à distance
La société VMWare, spécialisée dans les technologies de cloud computing et de virtualisation, a déclaré avoir résolu la faille de sécurité critique dans le produit Cloud Director. Le fournisseur a averti que si les utilisateurs n’appliquaient pas le correctif, la faille pourrait être exploitée par des acteurs malveillants pour lancer des attaques par exécution de code à distance.
La vulnérabilité a reçu un score CVSS de 9,1 sur un maximum de 10, ce qui montre qu’il s’agit d’une vulnérabilité très critique. VMware a déclaré que le chercheur en sécurité Jari Jääskelä a découvert et signalé la faille avant qu’un correctif ne soit développé.
VMware Cloud Director est utilisé par plusieurs fournisseurs de clouds populaires pour exploiter et gérer leur infrastructure de cloud. Il est également utilisé pour obtenir une visibilité sur les centres de données à travers les pays et les sites. Une fois que la vulnérabilité est exploitée, elle donne aux acteurs de menaces la possibilité d’accéder à des données sensibles et éventuellement de prendre le contrôle des clouds privés au sein d’une infrastructure entière.
Les sept autres vulnérabilités corrigées à cette occasion sont les suivantes : CVE-2022-22961, CVE-2022-22960, CVE-2022-22959, CVE-2022-22958, CVE-2022-22957, CVE-2022-22955 et CVE-2022-22956. VMware a expliqué les détails complets des vulnérabilités ci-dessus dans son avis de sécurité.
Le bug CVE-2022-22954 est différent des autres vulnérabilités critiques
VMware a également mis à jour son avis pour révéler pourquoi la vulnérabilité est différente des autres bogues critiques. Selon VMware, le bug a déjà été exploité dans la nature. Dans le même ordre d’idées, certains chercheurs ont publié, en début de semaine, des preuves de concept (POC) de l’exploitation sur Twitter. L’un de ces POC contient suffisamment de détails sur le bug sur GitHub.
En outre, les fournisseurs de renseignements sur les menaces ont découvert l’activité des acteurs de la menace qui tentaient d’exploiter la vulnérabilité. Parmi ces chercheurs figurent le célèbre chercheur en menaces Danial Card, GreyNoise Intelligence et Bad Packets.
Le jour même où VMware a confirmé l’exploit, Card a tweeté que des mineurs de crypto-monnaie étaient également déployés et qu’il fallait s’attendre à un ransomware sous peu.
VMware a également fourni une charge de travail pour le bug CVE-2022-22954. Mais le fournisseur a déclaré que les vulnérabilités ne peuvent être supprimées que si elles sont corrigées. Le fournisseur affirme que c’est la seule façon de les supprimer.
Les solutions de contournement peuvent ne pas supprimer la vulnérabilité
VMware indique que même si les solutions de contournement peuvent sembler pratiques, elles ne suppriment pas les bogues. Elles peuvent même entraîner d’autres problèmes qu’un correctif ne peut pas résoudre. C’est la raison pour laquelle une solution de contournement n’est pas conseillée dans cette situation et pour ce type de vulnérabilité.
Tout en fournissant sa recommandation, VMware a déclaré que l’application d’un correctif est toujours la méthode la plus fiable et la plus simple pour résoudre le problème de façon permanente. Le seul problème ici est le fait que les utilisateurs qui n’appliquent pas les correctifs seront toujours vulnérables à la faille. Cependant, s’ils appliquent le correctif immédiatement, toute action de menace n’aura plus d’impact significatif.
L’exploitation de la vulnérabilité a été observée dans la nature
Un porte-parole de VMware a déclaré que l’éditeur a mis à jour son avis de sécurité du 6 mars, confirmant que l’exploitation de la vulnérabilité a déjà eu lieu dans la nature. Au moment de la découverte du bug, il y avait peu d’informations suggérant qu’il avait été exploité. Mais après avoir effectué des recherches plus approfondies sur la CVE-2022-22954, le porte-parole a déclaré que la vulnérabilité avait été exploitée. Le porte-parole a averti que l’exploitation est en cours, et a suggéré aux utilisateurs d’appliquer le correctif dès que possible pour éviter d’être victime.
Le porte-parole a également réitéré que, bien qu’une solution de contournement ait été fournie dans l’avis, la meilleure façon de rester en sécurité est d’appliquer le correctif dès que possible.
« VMware encourage ses clients à …. à appliquer les dernières mises à jour des produits pour leur environnement », a noté le porte-parole. Les correctifs sont apparus moins de 24 heures après l’exploitation d’une autre vulnérabilité critique récemment corrigée.