CVE-2023-34048 : VMWare vCenter

Hôtes VMWare vCenter (web-ui) sur Internet

Résumé

• Mandiant a récemment rapporté qu'un groupe de pirates d'espionnage avancé avait été observé en train d'exploiter CVE-2023-34048 (une vulnérabilité dans l'implémentation DCERPC de vCenter) dans la nature depuis 2021.
• Censys a observé environ 3 541 hôtes avec le service d'administration web vCenter en cours d'exécution; parmi ceux-ci seulement 293 hôtes (8,2 %) avaient le service DCERPC en cours d'exécution sur la même interface réseau publique sur le port par défaut (TCP/135). sur la même interface réseau publique sur le port par défaut (TCP/135).
• VMWare a publié plusieurs nouvelles versions pour résoudre ce problème.

CVE-2023-34048(VMSA-2023-0023) est une vulnérabilité de VMWare vCenter dans leur implémentation du protocole DCERPC, qui est présent dans les produits VMWare vSphere et Cloud Foundation. Il n'y a pas eu beaucoup de détails publiés sur la vulnérabilité réelle, mais il a été signalé que toutes les versions de vSphere, à l'exception de la dernière, sont vulnérables.

À l'heure où nous écrivons ces lignes, il n'y a pas d'exploits publics disponibles, ni de campagne de piratage de masse, mais un rapport de Mandiant indique que cette vulnérabilité a été utilisée dans le cadre d'une attaque ciblée. Ce rapport indique également qu'un groupe d'espionnage avancé chinois utilise cette vulnérabilité depuis la fin de l'année 2021.

Censys Requêtes de recherche : 

• VMWare vCenter : services : (software.vendor : vmware et software.product : vcenter)
• VMWare vCenter avec DCERPC : services : (software.vendor : vmware and software.product : vcenter) and services.service_name=`DCERPC`.

Censys Requêtes ASM :

• VMWare vCenter : host.services : (software.vendor : vmware and software.product : vcenter) or (web_entity.instances.software.vendor : vmware and web_entity.instances.software.product : center)
• VMWare vCenter avec DCERPC : (host.services : (software.vendor : vmware and software.product : vcenter)) et host.services.service_name=DCERPC

VMWare a vérifié avec une note mise à jour dans leur avis pour VMSA-2023-0023 qu'ils ont "confirmé que l'exploitation de CVE-2023-34048 s'est produite dans la nature". Mandiant a suivi avec un court billet détaillant la méthodologie utilisée par ces attaquants "très avancés", qu'ils considèrent comme directement liée à CVE-2023-34048.

"L'analyse du core dump de "vmdird" par Mandiant et VMware Product Security a montré que le blocage du processus est étroitement lié à l'exploitation de CVE-2023-34048, la vulnérabilité d'écriture hors limites de vCenter dans l'implémentation du protocole DCE/RPC corrigée en octobre 2023, qui permet l'exécution de commandes à distance non authentifiées sur les systèmes vulnérables." - Mandiant

Note: "vmdird", également connu sous le nom de VMWare Directory Service, interagit apparemment directement avec l'implémentation vulnérable de DCERPC d'une manière ou d'une autre. Bien que les détails ne soient pas clairs pour l'instant.

Ce groupe, dont le nom de code est UNC3886, était connu pour être à l'origine de diverses attaques visant VMWare ESXi en juin 2023, et il est désormais clair qu'il utilise une vulnérabilité qui n'a pas encore fait l'objet d'une démonstration de faisabilité publique.

Alors que Censys a des informations sur les hôtes avec VMWare vCenter exécutant l'interface d'administration web, le problème sous-jacent est leur implémentation de DCERPC, un protocole complètement différent en dehors de HTTP, que l'on trouve généralement sur le port TCP 135.

À l'heure où nous écrivons ces lignes, Censys a observé environ 3 541 hôtes avec le service d'administration web vCenter en cours d'exécution ; parmi eux, seuls 293 hôtes (8,2 %) avaient le service DCERPC en cours d'exécution sur la même interface de réseau public sur le port par défaut (TCP/135).

Il convient de noter que ce n'est pas parce que DCERPC s'exécute sur le même hôte que l'interface web vCenter qu'il est vulnérable à cette attaque. Censys ne dispose pas d'informations sur les versions spécifiques des services qui s'exécutent, et nous ne savons pas non plus si l'implémentation DCERPC observée est celle de VMWare (l'interface vCenter peut se trouver derrière un proxy sur un hôte qui exécute une implémentation différente de DCERPC ; nous n'avons aucun moyen de différencier ces types de configurations).

D'autre part, si un hôte exécute publiquement DCERPC mais n'a pas d'interface d'administration web vCenter exposée à l'internet, nous ne pouvons pas déterminer si le service DCERPC interagit avec un système VMWare sous-jacent.

Dans les mesures ci-dessus, nous remarquons que les suspects habituels, comme Amazon AWS et Microsoft Azure, ne sont même pas dans la course. Les expositions ici semblent isolées des fournisseurs de télécommunications et des FAI SOHO comme AT&T Internet. Comme nous l'avons déjà mentionné, seule une fraction des hôtes exécutant l'interface web vCenter exécutent également un service DCERPC sur le port TCP 135.

VMWare a publié ce diagramme d'état utile pour permettre aux utilisateurs de vérifier s'ils sont vulnérables à cette vulnérabilité spécifique.

En résumé, si vous utilisez une version du serveur VMWare vCenter antérieure ou égale à 8.0.2 ou 7.0 U3o, l'installation de vCenter doit être corrigée. VMWare indique également dans sa FAQ que vous êtes concerné par cette vulnérabilité si vous utilisez n'importe quelle version de vSphere à l'exception des dernières mises à jour (6.5, 6.7, 7.0 ou 8.0).

Références

• Le groupe d'espionnage chinois UNC3886 exploite CVE-2023-34048 depuis fin 2021 
• Avis VMWare VMSA-2023-0023
• Bleeping Computer : VMware confirme que la faille critique de vCenter est désormais exploitée dans des attaques