Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- vCenter Server versions 7.0 antérieures à 7.0 U2b
- vCenter Server versions 6.7 antérieures à 6.7 U3n
- vCenter Server versions 6.5 antérieures à 6.5 U3p
- Cloud Foundation (vCenter Server) versions 4.x antérieures à 4.2.1
- Cloud Foundation (vCenter Server) versions 3.x antérieures à 3.10.2.1
Résumé
Le 25 mai 2021, VMware a publié un correctif pour la vulnérabilité CVE-2021-21985 affectant le greffon Virtual SAN Health Check qui est installé par défaut dans vCenter Server.
L'exploitation de cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire à distance avec un haut niveau de privilèges. De plus, des codes d'attaques sont disponibles publiquement pour la vulnérabilité CVE-2021-21985 et le CERT-FR a connaissance d'exploitations actives de celle-ci.
Le CERT-FR rappelle que les interfaces de gestion ne doivent pas être accessibles directement sur internet. Toutefois, le CERT-FR constate la disponibilité d'un certain nombre d'interfaces de gestion vCenter sur internet. A ce sujet, l'ANSSI a publié les guides suivants concernant l'accès sécurisé à distance :
Contournement provisoire
Dans la foire au questions concernant l'avis VMSA-2021-0010 (cf. section Documentation), VMware déconseille la désactivation du greffon vSAN pour des périodes prolongées.
L'application du correctif est donc la seule solution pour se protéger efficacement contre la vulnérabilité CVE-2021-21985.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation