VMware met à nouveau en garde contre des failles de sécurité critiques
VMware met en garde contre 10 failles de sécurité et invite les administrateurs à prendre immédiatement les mesures qui s'imposent. Dans le cas contraire, il serait possible pour des attaquants non authentifiés ayant accès au réseau d'obtenir des droits d'administrateur.
VMware a rendu publiques dix failles de sécurité critiques. La faille CVE-2022-31656 est considérée comme grave. Elle permettrait à des attaquants non authentifiés ayant un accès réseau d'accéder à l'interface utilisateur et d'obtenir des droits d'administrateur. Le spécialiste de la virtualisation a attribué à cette faille un score CVSSv3 de 9,8 (valeur maximale 10). Ce Common Vulnerability Scoring System permet de classer les degrés de gravité des failles de sécurité dans les systèmes informatiques. Toutefois, rien n'indique pour l'instant que cette vulnérabilité soit exploitée.
Selon le communiqué, Petrus Viet, de VNG Security, a découvert les vulnérabilités. Il a également publié un tweet à ce sujet :
L'entreprise a également corrigé les failles suivantes, qui permettent aux pirates d'exécuter du code à distance: CVE-2022-31658, CVE-2022-31659, CVE-2022-31665. Sur les serveurs non corrigés, un intrus pourrait en outre escalader ses droits à ceux d'un superutilisateur (CVE-2022-31660, CVE-2022-31661, CVE-2022-31664).
«Si votre entreprise recourt à pour la gestion des changements, il faut le considérer comme un changement 'd'urgence’, explique Bob Plankers, Cloud Infrastructure Security & Compliance Architect chez VMware. Il faut prendre des mesures immédiates pour résoudre ou atténuer les problèmes dans les implémentations locales».
Une solution de contournement temporaire est disponible
Pour les clients qui ne peuvent pas immédiatement appliquer un correctif contre CVE-2022-31656, l'entreprise a mis à disposition un workaround temporaire. Celle-ci prévoit que les administrateurs désactivent tous les utilisateurs sauf un administrateur et se connectent via SSH pour redémarrer le service Horizon Workspace. VMware recommande toutefois vivement d'appliquer immédiatement le correctif.
Selon le communiqué, les produits suivants sont concernés par les failles :
VMware Workspace One Access (accès)
VMware Workspace One Access Connector (Connecteur d'accès)
VMware Identity Manager (vIDM)
VMware Identity Manager Connector (vIDM Connector)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
VMware met à disposition les liens de téléchargement et des informations détaillées ici.
