VMware a averti aujourd’hui ses clients qu’un code d’exploitation est désormais disponible pour une vulnérabilité critique dans l’outil d’analyse VMware Aria Operations for Logs, qui aide les administrateurs à gérer des téraoctets de journaux d’applications et d’infrastructures dans des environnements à grande échelle.
La faille (CVE-2023-20864) est une faiblesse de désérialisation corrigée en avril, et elle permet à des attaquants non authentifiés d’obtenir une exécution à distance sur des appliances non corrigées.
Une exploitation réussie permet aux acteurs de la menace d’exécuter du code arbitraire en tant que root suite à des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
« VMware a confirmé que le code d’exploitation pour CVE-2023-20864 a été publié », a noté la société dans une mise à jour de l’avis de sécurité initial.
« CVE-2023-20864 est un problème critique et doit être corrigé immédiatement conformément aux instructions de l’avis. »
En avril, VMware a également publié des mises à jour de sécurité pour résoudre une vulnérabilité d’injection de commande moins grave (CVE-2023-20865) qui permettrait à des attaquants distants disposant de privilèges administratifs d’exécuter des commandes arbitraires en tant que root sur des appliances vulnérables.
Les deux failles ont été corrigées avec la sortie de VMware Aria Operations for Logs 8.12. Heureusement, il n’existe actuellement aucune preuve suggérant une exploitation dans des attaques.
Les failles de VMware Aria Operations attaquées
Récemment, VMware a émis une autre alerte concernant un bogue critique désormais corrigé (CVE-2023-20887) dans VMware Aria Operations for Networks (anciennement vRealize Network Insight), permettant l’exécution de commandes à distance en tant qu’utilisateur root et étant activement exploité dans des attaques.
La CISA a également ajouté la faille à sa liste de vulnérabilités exploitées connues et a ordonné aux agences fédérales américaines d’appliquer les mises à jour de sécurité d’ici le 13 juillet.
À la lumière de cela, il est fortement conseillé aux administrateurs d’appliquer rapidement les correctifs CVE-2023-20864 par mesure de précaution contre les attaques potentiellement entrantes.
Bien que le nombre d’instances VMware vRealize exposées en ligne soit relativement faible, il correspond à la conception prévue de ces appliances, qui se concentrent principalement sur l’accès au réseau interne au sein des organisations.
Néanmoins, il est important de noter que les attaquants profitent souvent des vulnérabilités présentes dans les appareils au sein des réseaux compromis.
Par conséquent, même les appliances VMware correctement configurées qui restent vulnérables peuvent devenir des cibles tentantes au sein de l’infrastructure interne des organisations ciblées.