CISA a ajouté une vulnérabilité de gravité critique dans VMware’s Cloud Foundation à son catalogue de failles de sécurité exploitées à l’état sauvage.

La faille (suivie sous le nom de CVE-2021-39144) a été trouvée dans la bibliothèque open source XStream utilisée par les produits VMware vulnérables et s’est vue attribuer un score de gravité presque maximal de 9,8/10 par VMware.

Les pirates non authentifiés peuvent exploiter le bogue dans des attaques peu complexes qui n’auront pas besoin d’interaction de l’utilisateur pour exécuter du code arbitraire à distance avec des privilèges root sur des appliances non corrigées.

« En raison d’un point de terminaison non authentifié qui exploite XStream pour la sérialisation des entrées dans VMware Cloud Foundation (NSX-V), un acteur malveillant peut obtenir l’exécution de code à distance dans le contexte de « racine » sur l’appliance », explique VMware.

VMware a publié des mises à jour de sécurité pour corriger la faille CVE-2021-39144 signalée par Sina Kheirkhah de MDSec et Steven Seeley de Source Incite le 25 octobre. En raison de la gravité du problème, VMware a également publié des correctifs pour certains produits en fin de vie.

Le jour de la publication des correctifs CVE-2021-39144, Kheirkhah a également publié un article de blog contenant des détails techniques et un code d’exploitation de preuve de concept (PoC).

Activement exploité depuis début décembre
La décision de CISA d’inclure la vulnérabilité CVE-2021-39144 dans son catalogue de vulnérabilités exploitées connues (KEV) fait suite à la confirmation de VMware que le bogue est exploité dans la nature.

« Avis mis à jour avec des informations selon lesquelles VMware a reçu des rapports d’activités d’exploitation dans la nature impliquant CVE-2021-39144 », a déclaré la société dans une mise à jour jeudi de l’avis original.

Cela est intervenu après que la société de cybersécurité Wallarm a révélé lundi que l’exploitation de CVE-2021-39144 avait commencé quelques semaines seulement après la publication des mises à jour de sécurité et se poursuivait depuis au moins début décembre 2022.

« L’équipe Wallarm Detect recherche et analyse des dizaines de vulnérabilités chaque jour, et celle-ci est particulièrement intéressante car elle a été exploitée plus de 40 000 fois au cours des 2 derniers mois. L’exploitation active a commencé le 2022-déc-08 et continue », a déclaré Wallarm.

« Si elles sont exploitées avec succès, l’impact de ces vulnérabilités pourrait être catastrophique, permettant aux attaquants d’exécuter du code arbitraire, de voler des données et/ou de prendre le contrôle de l’infrastructure réseau. »

Avec l’ajout de la faille au catalogue KEV, la CISA a ordonné aux agences fédérales américaines de sécuriser leurs systèmes contre les attaques dans les trois semaines, jusqu’au 31 mars, pour contrecarrer les attaques qui pourraient cibler leurs réseaux.

Bien que la directive opérationnelle contraignante de novembre 2021 (BOD 22-01) à l’origine de l’ordonnance de la CISA ne s’applique qu’aux agences fédérales américaines, l’agence de cybersécurité a également exhorté toutes les organisations à corriger ce bogue pour protéger leurs serveurs contre les attaques en cours.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré la CISA.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *