Quel est le problème ?
Trois vulnérabilités ont été récemment publiées dans l'avis de sécurité de VMware et ont un impact sur vCenter Server ou ESXi - CVE-2021-21972, CVE-2021-21973, CVE-2021-21974.
Versions de vCenter concernées :
7.0 avant 7.0 U1c
6.7 avant 6.7 U3l
6.5 avant 6.5 U3n
Versions d'ESXi concernées :
7.0 avant ESXi70U1c-17325551
6.7 avant ESXi670-202102401-SG
6.5 avant ESXi650-202102101-SG
Cependant, CVE-2021-21972 est une vulnérabilité critique d'exécution de code à distance selon Tenable. En utilisant les données qui alimentent notre plateforme ASM, l'équipe de Censys a trouvé 6 868 hôtes sur Internet exécutant cette version potentiellement vulnérable de vCenter par VMware. Les principaux pays où des hôtes ont été repérés sont les États-Unis, la Chine, l'Allemagne, la France et le Royaume-Uni.
Par pays % du total
États-Unis
1641
24%
Chine
592
9%
Allemagne
447
7%
France
390
6%
Royaume-Uni
242
4%
Nous avons approfondi notre recherche pour déterminer que seulement 38 % d'entre eux sont en fait exécutés sur un cloud public, principalement sur Amazon AWS. Vous trouverez ci-dessous une répartition plus détaillée.
Pourquoi cela est-il important ?
Les récentes vulnérabilités divulguées par VMware concernant son logiciel vCenter constituent une très mauvaise nouvelle pour les administrateurs chargés de maintenir une infrastructure virtuelle sécurisée. Ces vulnérabilités affectent des éléments clés de l'infrastructure critique, permettant à un attaquant non authentifié de télécharger des fichiers arbitraires sur les serveurs de l'infrastructure critique et d'exécuter du code arbitraire sur ces serveurs avec les privilèges de l'utilisateur SYSTEM (sur les serveurs Windows). Les administrateurs utilisant vSphere sur Linux peuvent être un peu moins paniqués car l'accès est plus limité, mais l'accès au niveau du système est toujours possible.
Si vous n'êtes pas déjà en train de vous précipiter sur votre ordinateur portable pour 1) vous assurer que vous n'exposez pas vCenter à l'ensemble de l'Internet et 2) écraser le bouton "mettre à jour maintenant", vous devriez probablement y penser si vous exploitez l'un des quelque 7 000 serveurs potentiellement vulnérables sur l'Internet. Il existe dans la nature des codes permettant d'exploiter ces vulnérabilités. Il est donc important d'agir rapidement pour atténuer les risques liés à ces vulnérabilités.
Vous pouvez utiliser l'exemple de requête ci-dessous pour vérifier votre propre infrastructure, en remplaçant simplement 8.8.8.8 par votre adresse IP ou votre plage CIDR : https://censys.io/ipv4/help?q=%22ID_VC_Welcome%22+AND+ip%3A+8.8 .8.8
Ces vulnérabilités combinées constituent un moment spécial de "oh merde" pour les administrateurs. N'importe qui sur Internet peut utiliser votre serveur vCenter comme un service CDN de mèmes de chats, c'est mauvais, mais considérez quelques-unes des autres choses auxquelles un attaquant pourrait avoir accès. Par exemple, tout système fonctionnant sur le serveur vSphere pourrait être compromis et devrait être inspecté pour détecter des changements ou d'autres IoC. En outre, comme les serveurs vSphere regroupent souvent différents segments de réseau, un pirate pourrait passer du réseau vSphere à l'intérieur des bureaux ou du centre de données d'une organisation et accéder ainsi à des services trop sensibles pour être connectés directement à l'internet. Les administrateurs devront surveiller les autres systèmes connectés ou potentiellement connectés aux réseaux partagés avec le serveur vSphere.
Censys a également soumis une requête à recog pour une meilleure identification de vCenter à l'avenir. Avec ce changement, les clients qui utilisent recog directement, ou qui utilisent des produits qui utilisent recog, bénéficieront de la nouvelle capacité d'identifier et de sécuriser plus facilement ces services.
Que dois-je faire ?
La première étape consiste à identifier les biens potentiellement touchés par la vulnérabilité. Nous avons utilisé les requêtes suivantes pour aider la communauté à identifier les biens touchés par la vulnérabilité, afin d'enquêter et de remédier à la situation.
https://censys.io/ipv4/help?q=%22ID_VC_Welcome%22+AND+ip%3A+8.8.8.8
https://censys.io/ipv4?q=%22VMware+vSphere+is+virtual+infrastructure%22+AND+ip%3A+8.8.8.8
Une fois que vous aurez trouvé les actifs concernés, vous devrez soit appliquer la solution de contournement, soit mettre à jour vos appliances vSphere. Ces deux solutions ne sont pas très amusantes et peuvent être difficiles à mettre en œuvre sans perdre de fonctionnalités ou créer des temps d'arrêt, mais dans ce cas, nous ne pensons pas que quelqu'un s'opposera à vous.
Ensuite, parce qu'il s'agit d'un RCE critique pour tous les propriétaires, vous devrez vérifier chaque serveur vSphere à la recherche de fichiers inattendus, de nouveaux services, de ports ouverts que vous n'attendiez pas, de nouveaux comptes ou d'autres éléments inhabituels pour votre environnement. Il est très courant qu'un attaquant établisse une persistance lorsqu'il compromet un service ou un serveur comme celui-ci, vous devrez donc être méticuleux et probablement étendre vos recherches au-delà du serveur vSphere lui-même.
Des instructions de contournement peuvent être trouvées ici : https://kb.vmware.com/s/article/82374
Ressources
