VMware a corrigé une vulnérabilité critique dans VMware Cloud Foundation, une plateforme de cloud hybride permettant d'exécuter des applications d'entreprise dans des environnements privés ou publics.

Suivie sous le nom de CVE-2021-39144, la faille se trouve dans la bibliothèque open-source XStream utilisée par Cloud Foundation avec un score de base CVSSv3 presque maximal de 9,8/10 attribué par VMware.

Cette faille peut être exploitée à distance par des acteurs de la menace non authentifiés dans le cadre d'attaques peu complexes qui ne nécessitent pas d'interaction avec l'utilisateur.

Selon la société, le bug est causé par un point de terminaison non authentifié qui exploite XStream pour la sérialisation des entrées dans VMware Cloud Foundation (NSX-V), un acteur malveillant peut obtenir l'exécution de code à distance dans le contexte de 'root' sur l’Appliance.

En raison de la gravité du problème, VMware a également publié des correctifs de sécurité pour les produits en fin de vie. Elle a également corrigé une deuxième  faille (CVE-2022-31678) qui pourrait déclencher des dénis de service ou exposer des informations suite à des attaques réussies d'injection d'entités externes XML (XXE).

Une solution de contournement temporaire a été proposée pour les utilisateurs qui ne peuvent pas appliquer immédiatement les correctifs, elle exige que les administrateurs se connectent à chaque machine virtuelle du gestionnaire SDDC dans leur environnement Cloud Foundation.

Une fois connectés, ils doivent appliquer un correctif NSX pour vSphere (NSX-V) qui mettra à niveau la bibliothèque XStream, ce qui supprime le vecteur d'attaque.

Cependant, cette solution nécessitera que les administrateurs passent par ces étapes chaque fois qu'un nouveau domaine de charge de travail VI est créé.

Pour les autres utilisateurs sont invités de passer à la version corrigée 1.4.19 afin d’atténuer tout risque possible.