Un code d’exploitation a été publié cette semaine pour une vulnérabilité récemment corrigée dans les appliances VMware Cloud Foundation et NSX Manager qui permet aux pirates sans authentification d’exécuter du code malveillant avec les privilèges système les plus élevés.
VMware a corrigé la vulnérabilité, suivie comme CVE-2021-39144, mardi et lui a attribué une cote de gravité de 9,8 sur 10 possibles. La vulnérabilité, qui réside dans la bibliothèque open source XStream sur laquelle s’appuient Cloud Foundation et NSX Manager, a posé tellement de risques que VMware a pris la décision inhabituelle de corriger les versions qui n’étaient plus prises en charge. La vulnérabilité affecte les versions 3.11 et antérieures de Cloud Foundation. Les versions 4.x ne sont pas à risque.
« VMware Cloud Foundation contient une vulnérabilité d’exécution de code à distance via la bibliothèque open source XStream », lit-on dans l’avis de la société, publié mardi. « En raison d’un point de terminaison non authentifié qui exploite XStream pour la sérialisation des entrées dans VMware Cloud Foundation (NSX-V), un acteur malveillant peut obtenir l’exécution de code à distance dans le contexte de ‘racine’ sur l’appliance. »
La vulnérabilité a été découverte par Sina Kheirkhah et Steven Seeley de la société de sécurité Source Incite. Au même moment, VMware a divulgué et corrigé la vulnérabilité, Kheirkhah a publié son propre avis, qui comprenait l’exploit de preuve de concept suivant.
« Dans XStream <= 1.4.18, il y a une désérialisation des données non fiables et est suivi comme CVE-2021-39144", a écrit Kheirkhah. "VMWare NSX Manager utilise le package xstream-1.4.18.jar, il est donc vulnérable à cette vulnérabilité de désérialisation. Tout ce que nous avons à faire est de trouver un point de terminaison accessible à partir d'un contexte non authentifié pour déclencher la vulnérabilité. J'ai trouvé un cas authentifié mais en montrant Steven, il a trouvé un autre emplacement dans la configuration /home/secureall/secureall/sem/WEB-INF/spring/security-config.xml. Ce point de terminaison particulier est pré-authentifié en raison de l'utilisation de isAnonymous.
« isAnonymous » est une fonction booléenne qui indique qu’un compte particulier est anonyme.
Avec le code d’exploitation disponible, une vulnérabilité de cette gravité est susceptible de constituer une menace sérieuse pour de nombreuses organisations. Toute personne utilisant un appareil concerné doit donner la priorité à l’application de correctifs dès que possible. Les organisations qui ne peuvent pas corriger immédiatement peuvent appliquer cette solution de contournement temporaire.