Vulnérabilités et exploitation active
Comme indiqué le 19 novembre 2024, le serveur VMware vCenter est confronté à une exploitation active de vulnérabilités critiques connues sous les noms de CVE-2024-38812 et CVE-2024-38813. Selon Broadcom, ces vulnérabilités sont confirmées comme étant ciblées dans des scénarios sauvages, ce qui suscite d'importantes inquiétudes chez les administrateurs système.
La première vulnérabilité, CVE-2024-38812, est particulièrement grave en raison de sa nature de problème de dépassement de tas dans l'implémentation du protocole DCERPC. Cette faille ouvre la voie à l'exécution de code à distance (RCE), une menace redoutable qui peut compromettre des systèmes entiers.
Analyse de la gravité et de l'impact
La vulnérabilité CVE-2024-38812 est classée comme une vulnérabilité critique avec un score CVSS de 9,8, ce qui illustre le risque élevé d'exploitation potentielle. Un tel score souligne le besoin urgent de remédier à la situation, car il signifie une menace substantielle pour les infrastructures informatiques qui dépendent de ce logiciel.
La portée des produits concernés est large et concerne les versions de vCenter Server et VMware Cloud Foundation antérieures à 8.0 U3b et 7.0 U3s. Cela inclut les environnements largement utilisés comme VMware vSphere, ce qui amplifie encore le risque et les mesures de réponse nécessaires.
Déploiement des correctifs et recommandations système
Ces vulnérabilités peuvent être exploitées par un attaquant disposant d'un accès réseau au serveur vCenter. En transmettant des paquets réseau spécialement conçus, un adversaire pourrait potentiellement réaliser une exécution de code à distance ou élever ses privilèges au niveau racine. De telles capacités soulignent la gravité critique de ces vulnérabilités.
Initialement, VMware a publié des correctifs en septembre 2024, mais ceux-ci n'ont pas complètement atténué le problème CVE-2024-38812. Par conséquent, d'autres mises à jour ont été publiées en octobre 2024. Les administrateurs doivent se référer à l'avis de sécurité VMSA-2024-0019 de VMware pour obtenir des conseils sur l'application des derniers correctifs nécessaires.
Sécurisation de l'infrastructure
L'impact plus large de ces vulnérabilités signifie que les produits contenant vCenter sont également en danger, comme VMware vSphere et VMware Cloud Foundation. Cette vulnérabilité généralisée exige une action rapide pour sécuriser les infrastructures virtualisées potentiellement exposées.
En l'absence de solutions de contournement, Broadcom conseille vivement aux administrateurs d'installer les dernières mises à jour sans délai. Il est essentiel de s'assurer que ces systèmes sont correctement mis à jour pour prévenir d'éventuelles attaques et maintenir la sécurité des opérations informatiques sur les plateformes concernées.