Les acteurs malveillants analysent en masse Internet afin de trouver des serveurs VMware avec une faille d’exécution de code récemment découverte, ayant un niveau de gravité de 9.8 sur 10.

Cette faille de sécurité référencée CVE-2021-21972 est une faille d’exécution de code à distance dans le serveur VMware vCenter, une application pour Windows ou Linux utilisée par les administrateurs pour activer et gérer la virtualisation de grands réseaux. Un jour après la publication du correctif VMware, des exploits de validation de principe ont vu le jour à partir d’au moins six diverses sources. Cette faille, accompagnée de la disponibilité d’exploits fonctionnels pour les machines Windows et Linux, a incité les cybercriminels à chercher activement des serveurs défaillants.

Le chercheur Troy Mursch de Bad Packets a déclaré « nous avons détecté une activité d’analyse de masse ciblant les serveurs VMware vCenter vulnérables ». Il a aussi précisé que le moteur de recherche BinaryEdge a trouvé près de 15 000 serveurs vCenter exposés à Internet, tandis que les recherches Shodan en ont révélé aux alentours de 6 700. Cette analyse de masse a pour but d’identifier les serveurs n’ayant pas encore installé le correctif publié par VMware.

La faille CVE-2021-21972 permet aux pirates sans autorisation de télécharger des fichiers sur des serveurs vCenter vulnérables accessibles au public via le port 443, d’après les chercheurs de la société de sécurité Tenable. Un exploit réussi permettrait à un acteur malveillant de bénéficier des privilèges d’exécution de code à distance illimités dans le système d’exploitation sous-jacent. La faille est due à un manque d’authentification dans le plug-in vRealize Operations, installé par défaut.

Le score de cette vulnérabilité s’est élevé à 9.8 sur 10.0 sur le Common Vulnerability Scoring System version 3.0. La faille CVE-2021-21972 touche les versions 6.5, 6.7 et 7.01 de vCenter Server. Les utilisateurs qui exécutent l’une de ces versions sont amenés à obligatoirement mettre à jour la version 6.5 U3n, 6.7U31 ou 7.0 U1c le plus rapidement possible. Ceux qui ne peuvent pas installer de correctif immédiatement doivent opter pour quelques solutions de contournement, impliquant la modification d’un fichier de matrice de compatibilité et la définition du plug-in vRealize sur incompatible. Les administrateurs ayant des serveurs vCenter directement exposés à Internet devraient fortement envisager de limiter la pratique ou au moins d’utiliser VPN.