VMware a corrigé une faille grave dans sa plate-forme de prestation de services cloud, VMware Cloud Director, après que la firme de cybersécurité Citadelo a émis un avertissement de sécurité sur les menaces possibles.
Citadelo a déclaré avoir découvert le bogue le 1er avril lors d'un audit de sécurité pour un client d'entreprise Fortune 500 qui utilisait VMware Cloud Director. Le logiciel a été adopté par les entreprises et les fournisseurs de services cloud du monde entier.
La firme de tests de pénétration a attribué le bogue dans VMware Cloud Director, qui facilite l'hébergement des outils d'automatisation, la migration vers le cloud, la gestion du centre de données virtuel et l'expansion du centre de données, à l'incapacité de la plate-forme à gérer correctement les entrées.
Sommaire
Réponse VMware
Les pirates peuvent tirer parti de la vulnérabilité – identifiée comme CVE-2020-3956 – pour effectuer des attaques d'exécution de code et assumer «techniquement» le contrôle de tous les clouds privés liés à l'infrastructure donnée, a averti Citadelo.
Le bogue affecte VMware Cloud Director versions 10.1.0 et inférieures, ainsi que vCloud Director 8x – 10x sur les configurations Linux et les appliances PhotonOS.
Citadelo a ajouté que les conséquences potentielles des cybercriminels exploitant le bogue pouvaient s'étendre au vol d'informations d'identification via la modification des mécanismes de connexion, l'escalade des privilèges des administrateurs d'organisation aux administrateurs vCloud et la falsification des machines virtuelles via la modification de la base de données.
Dans le cadre de son analyse exhaustive de la vulnérabilité, la firme de cybersécurité a déclaré qu'elle pouvait lire les e-mails, les adresses IP et d'autres données client confidentielles, en plus d'avoir accès aux bases de données système internes contenant des hachages de mot de passe, y compris les allocations clients.
En réponse à l'avis, VMware a décrit le bogue, qui a reçu un score CVSSV3 de gravité de 8,8, comme «important», et a fourni des correctifs ainsi qu'une solution de contournement qui est citée dans sa base de connaissances.
Le fournisseur de logiciels de cloud computing et de virtualisation a reconnu que des acteurs authentifiés pouvaient éventuellement acheminer du «trafic malveillant» sa plate-forme de prestation de services cloud, connue sous le nom de vCloud Director plus tôt, déclenchant ainsi l'exécution de code à distance arbitraire.
Les pirates pourraient exploiter la faille de VMware Cloud Director via des interfaces utilisateur basées sur Flex et HTML5, l'interface API Explorer et l'accès aux API, a noté VMware.
Après la révélation du bogue, la société a fait un tri et l'a reproduit le 3 avril, entraînant la création d'un correctif le 30 avril. Par la suite, VMware a fait une divulgation à ce sujet en mai, pour permettre aux utilisateurs de VMware Cloud Director de corriger leur construit dans le temps. Enfin, VMware a dévoilé un avis de sécurité à ses clients le 19 mai.
Via: ZDNet