La société de technologie de cloud computing et de virtualisation VMWare a déployé jeudi une mise à jour pour résoudre une faille de sécurité critique dans son produit Cloud Director qui pourrait être armée pour lancer des attaques d’exécution de code à distance.
Le problème, auquel est attribué l’identifiant CVE-2022-22966, a un score CVSS de 9,1 sur un maximum de 10. VMware a crédité le chercheur en sécurité Jari Jääskelä d’avoir signalé la faille.
« Un acteur malveillant authentifié et hautement privilégié avec un accès réseau au locataire ou au fournisseur de VMware Cloud Director peut être en mesure d’exploiter une vulnérabilité d’exécution de code à distance pour accéder au serveur », a déclaré VMware dans un avis.
VMware Cloud Director, anciennement connu sous le nom de vCloud Director, est utilisé par de nombreux fournisseurs de cloud bien connus pour exploiter et gérer leurs infrastructures cloud et gagner en visibilité sur les centres de données sur l’ensemble des sites et des zones géographiques.
En d’autres termes, la vulnérabilité pourrait finir par permettre aux attaquants d’accéder à des données sensibles et de prendre le contrôle de clouds privés au sein d’une infrastructure entière.
Les versions concernées incluent 10.1.x, 10.2.x et 10.3.x, avec des correctifs disponibles dans les versions 10.1.4.1, 10.2.2.3 et 10.3.3. La société a également publié des solutions de contournement qui peuvent être suivies lorsque la mise à niveau vers une version recommandée n’est pas une option.
Les correctifs arrivent un jour après que des exploits pour une autre faille critique récemment corrigée dans VMware Workspace ONE Access ont été détectés dans la nature.
La faille (CVE-2022-22954) concerne une vulnérabilité d’exécution de code à distance qui découle de l’injection de modèle côté serveur dans VMware Workspace ONE Access et Identity Manager.
Les produits VMware devenant souvent une cible lucrative pour les acteurs de la menace, la mise à jour ajoute à l’urgence pour les entreprises d’appliquer les mesures d’atténuation nécessaires pour prévenir les menaces potentielles.