VMware a confirmé qu’une vulnérabilité critique d’exécution de code à distance de vCenter Server corrigée en octobre est désormais exploitée activement.
vCenter Server est une plate-forme de gestion pour les environnements VMware vSphere qui aide les administrateurs à gérer les serveurs ESX et ESXi et les machines virtuelles (VM).
« VMware a confirmé que l’exploitation de CVE-2023-34048 s’est produite dans la nature », a déclaré la société dans une mise à jour ajoutée à l’avis initial cette semaine.
La vulnérabilité a été signalée par le chercheur en vulnérabilité de Trend Micro, Grigory Dorodnov, et est causée par une faiblesse d’écriture hors limites dans l’implémentation du protocole DCE/RPC de vCenter.
Les attaquants peuvent l’exploiter à distance dans des attaques de faible complexité avec un impact élevé sur la confidentialité, l’intégrité et la disponibilité qui ne nécessitent ni authentification ni interaction de l’utilisateur. En raison de sa nature critique, VMware a également publié des correctifs de sécurité pour plusieurs produits en fin de vie sans support actif.
Les courtiers en accès réseau aiment prendre le contrôle des serveurs VMware, puis vendre sur des forums de cybercriminalité à des gangs de ransomwares pour un accès facile aux réseaux d’entreprise. De nombreux groupes de ransomwares (comme Royal, Black Basta, LockBit et, plus récemment, RTM Locker, Qilin, ESXiArgs, Monti et Akira) sont désormais connus pour cibler directement les serveurs VMware ESXi des victimes pour voler et chiffrer leurs fichiers et exiger d’énormes rançons.
Selon les données de Shodan, plus de 2 000 serveurs VMware Center sont actuellement exposés en ligne, potentiellement vulnérables aux attaques et exposant les réseaux d’entreprise à des risques de violation compte tenu de leur rôle de gestion vSphere.
Comme il n’existe aucune solution de contournement, VMware a exhorté les administrateurs qui ne peuvent pas patcher leurs serveurs à contrôler strictement l’accès au périmètre réseau aux composants de gestion vSphere.
« VMware recommande vivement un contrôle strict de l’accès au périmètre du réseau à tous les composants et interfaces de gestion dans vSphere et aux composants associés, tels que les composants de stockage et de réseau, dans le cadre d’une posture de sécurité globale efficace », a averti la société.
Les ports réseau spécifiques liés à une exploitation potentielle dans les attaques ciblant cette vulnérabilité sont 2012/ tcp, 2014/tcp et 2020 / tcp.
En juin, VMware a également corrigé plusieurs failles de sécurité de haute gravité de vCenter Server posant des risques d’exécution de code et de contournement d’authentification pour les serveurs vulnérables.
La même semaine, la société a corrigé un jour zéro ESXi utilisé par les pirates informatiques de l’État chinois lors d’attaques de vol de données et a averti les clients d’une autre faille critique exploitée activement par Aria pour les réseaux.
Depuis le début de l’année, les administrateurs informatiques et les équipes de sécurité ont dû répondre aux avertissements de multiples vulnérabilités de sécurité sous exploitation active, y compris les jours zéro affectant les serveurs Ivanti Connect Secure, Ivanti EPMM et Citrix Netscaler.