ALERTE CERTFR - 2021 - ALE - 003
Publié le 25 février 2021 à 15h40 - Mis à jour le 21 janvier 2025 à 11h38
Objet
Vulnérabilité dans VMWare vCenter Server
Référence
CERTFR-2021-ALE-003
Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- vCenter Server versions antérieures à 7.0 U1c
- vCenter Server versions antérieures à 6.7 U3l
- vCenter Server versions antérieures à 6.5 U3n
- Cloud Foundation (vCenter Server) versions antérieures à 4.2
- Cloud Foundation (vCenter Server) versions antérieures à 3.10.1.2
Résumé
Le 23 février 2021, WMware a publié un avis de sécurité concernant trois vulnérabilités (cf. section documentation). La vulnérabilité CVE-2021-21972 est la plus critique. Elle permet une exécution de code arbitraire à distance par un attaquant non authentifié.
Cette vulnérabilité affecte un greffon de vCenter Server permettant la communication entre vCenter Server et la solution VMware vRealize Operations (vROPs). Ce greffon vulnérable est présent dans toutes les installations par défaut de vCenter. VMware précise que l'exploitation de la vulnérabilité est possible même si la solution vRealize Operations n'est pas utilisée.
Des preuves de concept sont disponibles publiquement et le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2021-21972, il est donc urgent d'appliquer le correctif de sécurité.
De plus, le CERT-FR a constaté la présence d'instances de vCenter directement accessibles sur internet. Ceci est contraire aux bonnes pratiques.
Pour rappel, ce type de services ne doit jamais être exposé sur internet. Lorsque cela se révèle absolument nécessaire, il est fortement recommandé de recourir à des solutions d'accès sécurisés à distance.
Ainsi, de manière générale, que ce soit sur le réseau interne ou à distance, des bonnes pratiques d'hygiène informatique et de sécurité en profondeur doivent être appliquées, comme recommandé dans les guides suivants :
- https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
- https://www.ssi.gouv.fr/uploads/2020/06/anssi-guide-passerelle_internet_securisee-v3.pdf
Contournement provisoire
Le CERT-FR recommande l'application du correctif de sécurité. Toutefois, dans les cas où cela n'est pas possible, VMware a publié des mesures de contournement provisoires :
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMWare VMSA-2021-0002 du 23 février 2021 : https://www.vmware.com/security/advisories/VMSA-2021-0002.html
- Avis de sécurité CERT-FR CERTFR-2021-AVI-145 du 24 février 2021 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-145/
- Référence CVE CVE-2021-21972 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21972