in ,

La CISA découvre de nouvelles failles critiques dans les produits VMware

Le 18 mai dernier la Cybersecurity and Infrastructure Security Agency (CISA), demande à toutes les agences fédérales de corriger leurs produits WMware vulnérables, face à de nouvelles failles découvertes, très importantes.

nouvelles failles critiques dans les produits VMware
nouvelles failles critiques dans les produits VMware

La CISA découvre de nouvelles failles critiques dans les produits VMware ! Le 18 mai dernier la Cybersecurity and Infrastructure Security Agency (CISA) a déclaré avoir découvert des failles de sécurité dans les produits VMware dont, deux critiques : CVE-2022-22972 et CVE-2022-22973.

Dans sa publication, l’agence gouvernementale alerte les entreprises privées américaines du danger et demande à toutes les agences fédérales de « corriger leurs produits VMware vulnérables » dans les 48 heures. Et dans le cas où les failles critiques ne peuvent pas être corrigées, les agences publiques et administratives devaient sans attendre supprimer les produits VMware concernées par les failles de leurs réseaux.

Alertée par la publication de CISA, la société VMware réagit rapidement en tentant de détecter et de corriger les failles signalées le jour même.

La CISA découvre de nouvelles failles critiques dans les produits VMware ; Découvrez dans cet article tout ce qu’il y a à savoir sur la gravité de ces nouvelles vulnérabilités critiques VMware et aussi comprendre pourquoi ces vulnérabilités font autant de bruits et inquiètent beaucoup de monde.

De nouvelles failles critiques dans VMWare

Régulièrement, les experts en cybersécurité découvrent et signalent de nouvelles vulnérabilités sur les produits VMWare. Découvertes par la CISA, celle-là même qui a signalé deux autres failles VMWare critiques en avril dernier, les dernières en date sont le CVE-2022-22972, qui est une vulnérabilité contournement d’authentification avec un score de gravité de 9,8/10, et le CVE-2022-22973, une vulnérabilité d’escalade de privilèges locaux avec un score de 7,8.

D’une gravité sans pareille, la vulnérabilité CVE-2022-22972 permettrait à un attaquant, avec un accès réseau à l’interface utilisateur, d’obtenir un accès administratif sans avoir besoin de s’authentifier, explique la CISA sur leur site.

Quant à la deuxième, CVE-2022-22973, il s’agit d’une vulnérabilité d’élévation locale de privilèges. Grâce à elle, un utilisateur peut, avec un accès local, élever ses privilèges pour accéder à des données et des outils dont il n’a normalement pas accès.

Etant donné leur score de gravité trop élevé, la CISA a jugé que ces vulnérabilités posent un risque trop grand pour la sécurité des réseaux fédéraux. Elle a donc demandé aux agences fédérales de les corriger rapidement, voire de supprimer les produits VMWare concernés si la correction n’est pas possible.

Les deux vulnérabilités, corrigées le jour même du signalement de la CISA

Suite au signalement de la CISA, VMware a rapidement réagi en publiant le jour même les mises à jour correctives des vulnérabilités CVE-2022-22972 et CVE-2022-22973. Malheureusement, cela n’a pas vraiment dissuadé la CISA d’alerter les entreprises américaines et les agences fédérales et de demander à ces dernières de supprimer les produits VMware concernés si c’est nécessaire.

Cette méfiance de la CISA s’explique par le fait qu’en avril elle a également signalé des failles que VMware a ensuite rapidement corrigées. Seulement, les attaquants ont quand même réussi à « désosser » d’une certaine manière les correctifs publiés pour développer un exploit et commencer à exploiter les vulnérabilités supposées être corrigées.

Pour appuyer cette crainte de la CISA, la société de cybersécurité Rapid7 confirme qu’en avril son équipe a observé qu’un exploit VMware est resté actif durant 6 jours après que les correctifs adéquats aient déjà été publiés.

Directive d’urgence, demande aux agences fédérales d’intervenir.

En cas de menace qui met en danger la sécurité de l’information, le secrétaire à la Sécurité intérieure américaine est autorisé à émettre une directive d’urgence au chef d’une agence (agence fédérale) pour prendre toute mesure légale concernant le fonctionnement du système d’information, et ce, dans le but de protéger le système d’information ou d’atténuer une menace à la sécurité de l’information.

Sachez toutefois que l’article 2205(3) de la loi de 2002 sur la sécurité intérieure américaine délègue cette autorité au directeur de la Cybersecurity and Infrastructure Security Agency. C’est donc bien la CISA qui demande aux agences fédérales de prendre les mesures adéquates pour éliminer les éventuelles menaces. Et c’est qu’a fait la CISA dans sa publication le 18 mai dernier.

Enfin, outre les agences publiques et administratives, l’ordre de la CISA de traiter les vulnérabilités, voire de supprimer les produits VMware concernés, s’adresse également aux entités, gouvernementales ou non, qui collectent, traitent, stockent, transmettent, diffusent, ou conservent autrement les informations d’une agence fédérale.

Des actions pour limiter les risques

Voici les actions demandées par la CISA aux agences publiques et administratives pour réduire les risques liés aux failles sur les produits VMware :

  • Faire une liste de toutes les instances des produits VMware sur les réseaux de l’agence concernées par les failles de sécurité ;
  • Pour toutes les instances concernées, lancer les mises à jour pour bénéficier des correctifs publiés par VMware. Notez que les produits concernés par les failles et donc par les correctifs aussi sont VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager…
  • Si les mises à jour ne sont pas disponibles pour une raison ou une autre, à cause de la non prise en charge par le fournisseur par exemple, supprimer du réseau de l’agence les instances des produits VMware concernées par les failles ;
  • Déconnecter rapidement toutes les instances de produits VMware concernées accessibles depuis Internet ;
  • Les agences fédérales ne doivent pas se reconnecter à leurs réseaux qu’une fois que les menaces soient totalement supprimées ou maîtrisées ;

Dans sa publication du 18 mai dernier, la CISA a également déclaré qu’elle continuerait de surveiller ces nouvelles vulnérabilités et fournirait régulièrement un rapport à toutes les grandes instances jusqu’au 30 juin 2022. Enfin, pour une surveillance renforcée des vulnérabilités, l’agence gouvernementale sollicite également la collaboration de ses partenaires dans le domaine de la cybersécurité.

Pourquoi les nouvelles vulnérabilités VMware inquiètent autant tout le monde ?

VMware est un fournisseur de logiciels de virtualisation et de cloud computing basé à Palo Alto, en Californie. Il base ses technologies de virtualisation sur son hyperviseur bare metal ESX/ESXi en architecture x86.

Les produits VMware incluent des outils de gestion de la virtualisation, de la mise en réseau et de la sécurité, des logiciels de centre de données définis par logiciel et des logiciels de stockage. Le fournisseur propose également des applications pour les postes de travail ainsi que pour les serveurs, qui sont compatibles avec Linux, Microsoft Windows et Mac OS X. Les produits de bureau incluent VMware Workstation, VMware Fusion et VMware Player. La gamme de logiciels de serveur de VMware comprend VMware ESX Server, VMware ESXi Server et VMware Server.

Si la CISA est autant préoccupée par les nouvelles vulnérabilités VMware, c’est tout simplement parce que ce fournisseur est un incontournable dans le secteur de la virtualisation et de cloud computing et ainsi presque tous les réseaux des agences publiques et administratives américaines reposent essentiellement sur les produits qu’il propose.

Enfin, de nombreuses entreprises privées dans le monde utilisent également les produits de VMware pour la virtualisation de leurs réseaux ou bien pour les sécuriser tout simplement. Depuis sa création, l’entreprise aurait fidélisée plus de 500 000 clients à travers le monde.

Auteur Antonio Rodriguez, Editeur et Directeur Clever Technologies

Autres articles

Written by Antoine

Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.

Risque 5G

5G, comment les entreprises peuvent-elles atténuer les risques, face aux nouvelles menaces?

Comment optimiser vos processus de production industrielle ?

Comment optimiser vos processus de production industrielle ?