Category: Sécurité

VMSA-2022-0011

Le 6 avril 2022, VMware a publié VMSA-2022-0011, un avis de sécurité critique traitant des vulnérabilités de sécurité détectées dans les produits VMware Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation et VMware Cloud Foundation.

VMware Identity Manager est également un composant externe facultatif qui peut fournir une authentification et une autorisation pour d’autres produits, tels que NSX, vRealize Operations, vRealize Log Insight et vRealize Network Insight.

La VMSA-2022-0011 sera toujours la source pour les produits et versions concernés, les solutions de contournement et les correctifs appropriés.

VMSA-2022-0011

Produits impactés

  • VMware Workspace ONE Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Informations supplémentaires

Veuillez consulter l’article VMware pour plus de détails :URL

VMSA-2022-0004

VMware a publié VMSA-2022-0004 plusieurs vulnérabilités dans VMware ESXi, Workstation et Fusion et des mises à jour sont disponibles pour corriger ces vulnérabilités dans les produits VMware concernés.

Les vulnérabilités individuelles documentées sur cette VMSA ont une gravité importante/modérée, mais la combinaison de ces problèmes peut entraîner une gravité plus élevée, par conséquent la gravité de cette VMSA est au niveau de gravité critique.

VMSA-2022-0004

La VMSA-2022-0004 sera toujours la source pour les produits et versions concernés, les solutions de contournement et les correctifs appropriés.

Solution de contournement : supprimer les contrôleurs USB des machines virtuelles, bien que cela puisse être irréalisable à grande échelle et n’élimine pas la menace potentielle comme le fait le correctif.

Avec cette VMSA, des versions supplémentaires de correctifs sont disponibles pour les clients qui utilisent VMware vSphere 7 Update 1 et Update 2, dans le but d’aider les clients qui ne peuvent pas effectuer la mise à niveau vers vSphere 7 Update 3c pour le moment.

Produits impactés

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • VMware Cloud Foundation (Cloud Foundation)

VMSA-2022-0001

Le 04 janvier, VMware a publié l’avis de sécurité (security advisory) VMSA-2022-0001 pour une vulnérabilité de débordement de tas  »Heap-Overflow » qui affecte plusieurs produits VMware.

VMSA-2022-0001

Cette vulnérabilité permet à un attaquant de provoquer l’exécution de code arbitraire à distance.

VMware déclare qu’un acteur malveillant ayant accès à une machine virtuelle avec une émulation de périphérique de CD-ROM peut être en mesure d’exploiter cette vulnérabilité pour exécuter du code sur l’hyperviseur à partir d’une machine virtuelle.

L’exploitation réussie de CVE-2021-22045 par un acteur malveillant peut entraîner :

  • L’exécution de code arbitraire non autorisé.
  • La possibilité de contourner les mécanismes de protection.
  • La modification de la mémoire.
  • Une possible perte de service, donc un plantage (crash) du système.

Produits Concernés

ProduitsVersions
VMware ESXi6.5, 6.7 et 7.0
VMware Workstation16.x
VMware Fusion12.x
VMware Cloud Foundation3.x et 4.x

Actions Correctives

VMware a investigué sur CVE-2021-22045 et a déterminé que la possibilité d’exploitation peut être supprimée en appliquant les étapes décrites au niveau solution de contournement « Workarounds » publié sur l’avis de sécurité VMSA-2022-0001.

Cette solution de contournement est censée être une solution temporaire jusqu’à ce que les mises à jour documentées dans VMSA-2022-0001 puissent être déployées.

Veuillez noter que cette vulnérabilité peut être temporairement corrigée en désactivant les lecteurs de CD-ROM sur toutes les machines virtuelles.

VMware Safe Products – Log4j

VMware Safe Products

Vous trouver dans cette article une liste des produits VMware qui ne sont pas impacté par la vulnérabilité Log4Shell du produit Log4j.

En revanche, la liste des produits VMware concernés par cette vulnérabilité est disponible sur notre article CVE-2021-44228.

VMware Safe Products

Produits Non Impactés

  • VMware vSphere ESXi
  • VMware Cloud Director (VCD)
  • VMware vCloud Availability
  • VMware NSX Advanced Load Balancer (Avi)   
  • VMware Workspace ONE Assist
  • VMware RemoteHelp
  • VMware vCloud Usage Meter
  • VMware Tanzu Kubernetes Grid
  • SaltStack
  • VMware App Volumes 
  • VMware ThinApp
  • ThinApp SDK
  • Dynamic Environment Manager (DEM) 
  • Workspace ONE Unified Endpoint Management (UEM)
  • VMware Postgres
  • VMware Tanzu RabbitMQ
  • VMware Tanzu RabbitMQ for Kubernetes
  • VMware Tanzu RabbitMQ for VMs
  • VMware Tanzu SQL with Postgres for Kubernetes
  • VMware Tanzu SQL with MySQL for Kubernetes
  • Data Management for VMware Tanzu (DMS)
  • VMware Telco Cloud Automation (TCA)
  • VMware Workstation
  • VMware Fusion
  • VMware Skyline Collector virtual appliance
  • Workspace ONE Intelligence
  • MySQL for TAS (Tanzu Application Service)
  • VMware Workstation Player
  • Cloud Director App Launchpad
  • vROps TenantApp
  • AirWatch Cloud Connector
  • VMware NSX Lastline Defender On-Premises
  • VMware NSX Lastline Defender Hosted/SaaS
  • Update Manager Download Service (UMDS)
  • Metrics Store
  • Event Alerts
  • VMware Workspace ONE Assist for Horizon
  • VMware Tools
  • VMware Tanzu Toolkit for Kubernetes
  • Secure Email Gateway
  • VMware Cloud Director App Launchpad
  • Skyline Health Diagnostics 
  • Carbon Black App Control
  • VMware Tanzu Build Service
  • Workspace ONE Tunnel
  • VMware Email Notification Service 2

Remarque : des produits supplémentaires peuvent être ajoutés à la liste.

VMware Safe Products

VMSA-2021-0028

Suite à la vulnérabilité zero-day au niveau Apache Log4j CVE-2021-44228, le 10 décembre 2021, VMware a publié l’avis de sécurité VMSA-2021-0028.

VMware, à travers VMware Security Advisories VMSA-2021-0028, confirme sa réactivité et son efficacité vis-à-vis de ces clients et des entreprises qui utilisent ces produits.

VMSA-2021-0028 (et les articles associés) est la seule source officielle et fiable de VMware pour communiquer et gérer cette vulnérabilité, contient des informations sur les produits impactés, les solutions de contournement et les correctifs dès qu’ils sont disponibles.

L’analyse d’impact, l’identification des produits concernés, la maturité des solutions de contournement (Workaround) et la disponibilité des correctifs évolueront étant donné qu’il s’agit d’une vulnérabilité zero-day et que la majorité des produits sont impactés. .

Par conséquent, vous devez suivre de près les mises à jour de VMSA-2021-0028.

VMSA-2021-0028

Produits impactés (en cours d’évaluation)

  • VMware Horizon
  • VMware vCenter Server
  • VMware HCX
  • VMware NSX-T Data Center
  • VMware Unified Access Gateway
  • VMware WorkspaceOne Access
  • VMware Identity Manager 
  • VMware vRealize Operations
  • VMware vRealize Operations Cloud Proxy
  • VMware vRealize Automation
  • VMware vRealize Lifecycle Manager
  • VMware Site Recovery Manager, vSphere Replication
  • VMware Carbon Black Cloud Workload Appliance
  • VMware Carbon Black EDR Server
  • VMware Tanzu GemFire
  • VMware Tanzu GemFire for VMs
  • VMware Tanzu Greenplum
  • VMware Tanzu Operations Manager
  • VMware Tanzu Application Service for VMs
  • VMware Tanzu Kubernetes Grid Integrated Edition
  • VMware Tanzu Observability by Wavefront Nozzle
  • Healthwatch for Tanzu Application Service
  • Spring Cloud Services for VMware Tanzu
  • Spring Cloud Gateway for VMware Tanzu
  • Spring Cloud Gateway for Kubernetes
  • API Portal for VMware Tanzu
  • Single Sign-On for VMware Tanzu Application Service
  • App Metrics
  • VMware vCenter Cloud Gateway
  • VMware vRealize Orchestrator
  • VMware Cloud Foundation
  • VMware Workspace ONE Access Connector
  • VMware Horizon DaaS
  • VMware Horizon Cloud Connector
  • VMware NSX Data Center for vSphere
  • VMware AppDefense Appliance
  • VMware Cloud Director Object Storage Extension
  • VMware Telco Cloud Operations
  • VMware vRealize Log Insight
  • VMware Tanzu Scheduler
  • VMware Smart Assurance NCM
  • VMware Smart Assurance SAM [Service Assurance Manager]
  • VMware Integrated OpenStack
  • VMware vRealize Business for Cloud
  • VMware vRealize Network Insight
  • VMware Cloud Provider Lifecycle Manager 
  • VMware SD-WAN VCO
  • (Des produits supplémentaires peuvent être ajoutés)

Log4J : Log4Shell – CVE-2021-44228

Ce que vous ne savez pas sur qui, quand et comment la vulnérabilité Log4Shell du produit Log4j a été détectée pour la première fois.

Une vulnérabilité zero-day CVE-2021-44228 a été découverte dans la célèbre bibliothèque (Java library) de journalisation Apache Log4j.

Cette vulnérabilité permet à un hacker l’execution de code à distance ‘’remote code execution’’

La vulnérabilité a été découverte par des chercheurs de l’équipe de sécurité d’Alibaba Cloud qui ont notifié la Fondation Apache le 24 novembre 2021.

Les chercheurs ont souligné qu’Apache Struts2, Apache Solr, Apache Druid, Apache Flink sont tous affectés par cette vulnérabilité.

Par la suite, la vulnérabilité a été publiée pour la première fois lorsqu’un chercheur (chinois) avec le pseudo « p0rz9 » a partagé sur Twitter un lien GitHub d’une preuve de concept (PoC) de l’exploitation de cette vulnérabilité zero-day.

Aussi, Cisco Talos a déclaré dans un article qu’il avait repéré pour la première fois une activité de menace liée à la vulnérabilité le 2 décembre 2021, bien avant la divulgation publique.

Cela signifie que cette vulnérabilité a été identifiée et exploitée bien avant la publication du CVE-2021-44228 et qu’il y a déjà eu des cas d’utilisation active de cette vulnérabilité «in the wild» envers certaines entreprises et organisations.

Criticité

Selon les experts, la vulnérabilité est facile à exploiter et ne nécessite pas de configuration particulière, pour cette raison, elle a reçu un score CVSSv3 de 10/10.

Le CVSS est le le “Common Vulnerability Scoring System (CVSS)” et L’échelle est de 1 à 10.

10 étant le plus haut niveau de criticité.

Risques

Exécution de code à distance [Remote Code Execution]

Systèmes affectés

  • Toutes les versions Apache Log4j de 2.0 à 2.14.1
  • Apache Log4j versions 1.x, si le composant JMS Appenders est configuré pour prendre en compte JNDI.
  • Les produits utilisant une version vulnérable de Apache Log4j.

Tout projet utilisant log4j est potentiellement vulnérable, une analyse rapide a révélé que la vulnérabilité affecte potentiellement tout logiciel utilisant cette bibliothèque.

Non seulement la vulnérabilité affecte des milliers de programmes, mais l’exploitation de cette vulnérabilité est très simple.

De ce fait, les hackers commencent déjà à lancer des attaques à grande échelle et la grande variété de systèmes vulnérables aggrave encore la situation.

Solutions

La problématique et l’enjeu aujourd’hui est d’obtenir des correctives pour ces milliers de produits impactés.

Dans l’attente des correctives, il faut agir efficacement avec les moyens du bord.

Par conséquent, il est fortement recommandé de :

  • Élaborer un inventaire des solutions qui utilisent log4j.
  • Se référer aux communications (notamment bulletin de sécurité) des éditeurs (sinon contactez-les) pour vérifier si les solutions/produits que vous utilisez sont exposés à cette vulnérabilité.
  • Mettre à jour Log4J vers la version 2.15.0. 2.12.2 pour Java 7 et 2.16.0 pour Java 8 et versions ultérieures.
  • S’assurer de la viabilité des configurations appliquer au niveau de vos équipements réseau et sécurité (WAF, FW, etc…) frontaux (In/out vers internet).
  • Suspendre la publication sur internet de tout service impacté (au moins jusqu’à l’application de Workaround).
  • Appliquer dans les plus brefs délais la solution de contournement (workaround) communiquée par l’éditeur.
  • Appliquer les mises à jour une fois publiées par les éditeurs (la publication des correctifs prend généralement un peu de temps pour les vulnérabilités zero-day).

Informations complémentaires

  • Des exemples de cette vulnérabilité sont publiés sur GitHub : URL
  • Québec a fermé préventivement près de 4 000 sites Web gouvernementaux : URL
  • p0rz9 a mentionné que le PoC a révélé que la vulnérabilité ne peut être exploitée que si l’option log4j2.formatMsgNoLookups est définie sur false.

Badr Eddine CHAFIQ