Un nouveau correctif de sécurité a été publié par VMware by Broadcom dans le but de corriger une faille de sécurité critique présente dans VMware vCenter Server. Pourtant, cette vulnérabilité a déjà été patchée en septembre dernier… Que se passe-t-il ?
Pour rappel, VMware vCenter Server est une solution pour administrer les infrastructures de virtualisation VMware vSphere, notamment les hyperviseurs ESXi. Elle est très répandue en entreprise.
Il y a un peu plus d’un mois, VMware a mis en ligne un correctif et un bulletin de sécurité pour alerter ses clients des risques associés à la faille de sécurité CVE-2024-38812. Découverte par les chercheurs en sécurité de TZL, à l’occasion de la compétition de hacking Matrix Cup, cette faiblesse de type heap overflow est présente dans l’implémentation du protocole DCE/RPC au sein de vCenter.
En exploitant cette vulnérabilité, un attaquant distant non authentifié peut exécuter du code à distance sur le serveur vCenter, par l’intermédiaire d’un paquet réseau spécialement conçu. Aucune interaction de l’utilisateur n’est requise, donc l’attaquant doit seulement pouvoir communiquer avec une instance vulnérable.
Un deuxième correctif pour la CVE-2024-38812
Si cette faille de sécurité fait encore parler d’elle aujourd’hui, c’est parce que le bulletin VMSA-2024-0019 a été mis à jour. Voici ce que nous pouvons lire : « VMware by Broadcom a déterminé que les correctifs vCenter publiés le 17 septembre 2024 ne traitaient pas entièrement CVE-2024-38812. »
Cette méchante faille de sécurité reçoit donc un second correctif, car le premier publié en septembre 2024 ne serait pas efficace. Par exemple, le correctif correspondant à la version 8.0 U3b est désormais remplacé par la version 8.0 U3d.
Finalement, le nouveau correctif de sécurité sert à se protéger définitivement (en principe) de la CVE-2024-38812, ainsi que de la vulnérabilité CVE-2024-38813. Cette seconde vulnérabilité correspond à une élévation de privilège décrite de la façon suivante : « Un acteur malveillant disposant d’un accès réseau à vCenter Server peut déclencher cette vulnérabilité afin d’élever ses privilèges au niveau de root en envoyant un paquet réseau spécialement conçu. »