Une vulnérabilité de haute gravité découverte il y a près d’un an dans VMware vCenter Server 8.0 n’a pas encore été corrigée (s’ouvre dans un nouvel onglet)a confirmé la société.
La faille, identifiée comme CVE-2021-22048, est décrite comme une vulnérabilité d’élévation de privilèges et permet aux utilisateurs non administrateurs d’élever leurs privilèges sur des serveurs non corrigés. Il a été découvert en novembre 2021 dans le mécanisme d’authentification Windows intégré (IWA) de vCenter Server.
Les acteurs de la menace qui exploitent avec succès la faille peuvent « complètement compromettre la confidentialité et/ou l’intégrité des données utilisateur et/ou des ressources de traitement via l’assistance aux utilisateurs ou par des attaquants authentifiés », a-t-il été déclaré à l’époque.
Solutions de contournement disponibles
Le correctif est toujours en attente, mais pas faute d’avoir essayé. VMware a en fait publié une mise à jour de sécurité en juillet de cette année, qui tentait de corriger la faille des serveurs exécutant la version la plus récente (c’est-à-dire vCenter Server 7.0 Update 3f, selon BleepingComputer).
Cependant, la société a été forcée de retirer le correctif moins de quinze jours plus tard car cela ne résolvait pas le problème et a également provoqué le blocage de Secure Token Service (vmware-stsd) pendant le correctif.
« VMware a déterminé que les mises à jour de vCenter 7.0u3f précédemment mentionnées dans la matrice de réponse ne corrigent pas CVE-2021-22048 et introduisent un problème fonctionnel », avait alors déclaré VMware dans son avis de sécurité.
Jusqu’à ce que le correctif soit disponible, il est conseillé aux administrateurs informatiques exécutant les systèmes concernés de déployer une solution de contournement, en passant d’IWA à Active Directory via l’authentification LDAP OU la fédération de fournisseur d’identité pour AD FS (vSphere 7.0).
« L’authentification Active Directory sur LDAP n’est pas affectée par cette vulnérabilité », a déclaré la société. « Cependant, VMware recommande vivement aux clients de prévoir de passer à une autre méthode d’authentification. »
En outre, « Active Directory sur LDAP ne comprend pas les approbations de domaine, de sorte que les clients qui passent à cette méthode devront configurer une source d’identité unique pour chacun de leurs domaines de confiance », a expliqué VMware. « La fédération de fournisseurs d’identité pour AD FS n’a pas cette restriction. »
Via BleepingComputer (s’ouvre dans un nouvel onglet)