VMware a corrigé une vulnérabilité de divulgation d’informations dans le service d’application VMware Tanzu pour les machines virtuelles (TAS pour les machines virtuelles) et le segment d’isolation causée par la journalisation et l’exposition des informations d’identification via les journaux d’audit du système.
TAS for VMs aide les entreprises à automatiser le déploiement d’applications sur site ou sur des clouds publics et privés (par exemple, vSphere, AWS, Azure, GCP, OpenStack).
Suivie sous le nom de CVE-2023-20891, la faille de sécurité corrigée aujourd’hui par Vmware permettrait à des attaquants distants disposant de faibles privilèges d’accéder aux informations d’identification d’administrateur de l’API Cloud Foundry sur des systèmes non corrigés lors d’attaques peu complexes qui ne nécessitent pas d’interaction de l’utilisateur.
Cela se produit parce que, sur les instances TAS non corrigées pour les machines virtuelles, les informations d’identification d’administrateur de l’API CF encodées en hexadécimal sont consignées dans les journaux d’audit du système de la plate-forme.
Les pirates qui exploitent cette vulnérabilité peuvent utiliser les informations d’identification volées pour diffuser des versions d’applications malveillantes.
« Un utilisateur malveillant non administrateur qui a accès aux journaux d’audit du système de la plate-forme peut accéder aux informations d’identification d’administrateur de l’API CF encodées en hexadécimal et peut pousser de nouvelles versions malveillantes d’une application », explique VMware.
Heureusement, comme l’a souligné VMware, les utilisateurs non administrateurs n’ont pas accès aux journaux d’audit du système dans les configurations de déploiement standard.
Rotation des informations d’identification d’administrateur recommandée
Cependant, la société conseille toujours à tous les TAS pour les utilisateurs de machines virtuelles affectés par CVE-2023-20891 de faire pivoter les informations d’identification d’administrateur de l’API CF pour s’assurer que les attaquants ne peuvent pas utiliser de mots de passe divulgués.
VMware fournit des instructions détaillées sur la modification des informations d’identification d’administrateur de compte d’utilisateur et d’authentification Cloud Foundry (UAA) dans ce document d’assistance.
« TAS ne prend pas officiellement en charge la modification du mot de passe de l’utilisateur administrateur UAA. Les instructions ci-dessus ne sont pas officiellement testées dans le cadre de la suite de tests Operations Manager, utilisez-les donc à vos risques et périls », prévient VMware.
« Il peut être tentant de changer le mot de passe de l’utilisateur administrateur avec l’utilitaire uaac. Malheureusement, cela ne suffit pas car cela ne mettra à jour que le mot de passe de l’utilisateur administrateur dans UAA. Cela laisse Operations Manager désynchronisé et peut entraîner l’échec des travaux et des courses. «
Le mois dernier, VMware a corrigé des bogues de sécurité vCenter Server de haute gravité permettant l’exécution de code et le contournement de l’authentification.
Il a également corrigé un ESXi zero-day exploité par un groupe de piratage parrainé par la Chine pour détourner des machines virtuelles Windows et Linux lors d’attaques de vol de données.
Plus récemment, la société a averti ses clients qu’un code d’exploitation est désormais disponible pour une vulnérabilité RCE critique dans l’outil d’analyse VMware Aria Operations for Logs.