Category: VMware

VMSA-2022-0004

VMware a publié VMSA-2022-0004 plusieurs vulnérabilités dans VMware ESXi, Workstation et Fusion et des mises à jour sont disponibles pour corriger ces vulnérabilités dans les produits VMware concernés.

Les vulnérabilités individuelles documentées sur cette VMSA ont une gravité importante/modérée, mais la combinaison de ces problèmes peut entraîner une gravité plus élevée, par conséquent la gravité de cette VMSA est au niveau de gravité critique.

VMSA-2022-0004

La VMSA-2022-0004 sera toujours la source pour les produits et versions concernés, les solutions de contournement et les correctifs appropriés.

Solution de contournement : supprimer les contrôleurs USB des machines virtuelles, bien que cela puisse être irréalisable à grande échelle et n’élimine pas la menace potentielle comme le fait le correctif.

Avec cette VMSA, des versions supplémentaires de correctifs sont disponibles pour les clients qui utilisent VMware vSphere 7 Update 1 et Update 2, dans le but d’aider les clients qui ne peuvent pas effectuer la mise à niveau vers vSphere 7 Update 3c pour le moment.

Produits impactés

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • VMware Cloud Foundation (Cloud Foundation)

VMSA-2022-0001

Le 04 janvier, VMware a publié l’avis de sécurité (security advisory) VMSA-2022-0001 pour une vulnérabilité de débordement de tas  »Heap-Overflow » qui affecte plusieurs produits VMware.

VMSA-2022-0001

Cette vulnérabilité permet à un attaquant de provoquer l’exécution de code arbitraire à distance.

VMware déclare qu’un acteur malveillant ayant accès à une machine virtuelle avec une émulation de périphérique de CD-ROM peut être en mesure d’exploiter cette vulnérabilité pour exécuter du code sur l’hyperviseur à partir d’une machine virtuelle.

L’exploitation réussie de CVE-2021-22045 par un acteur malveillant peut entraîner :

  • L’exécution de code arbitraire non autorisé.
  • La possibilité de contourner les mécanismes de protection.
  • La modification de la mémoire.
  • Une possible perte de service, donc un plantage (crash) du système.

Produits Concernés

ProduitsVersions
VMware ESXi6.5, 6.7 et 7.0
VMware Workstation16.x
VMware Fusion12.x
VMware Cloud Foundation3.x et 4.x

Actions Correctives

VMware a investigué sur CVE-2021-22045 et a déterminé que la possibilité d’exploitation peut être supprimée en appliquant les étapes décrites au niveau solution de contournement « Workarounds » publié sur l’avis de sécurité VMSA-2022-0001.

Cette solution de contournement est censée être une solution temporaire jusqu’à ce que les mises à jour documentées dans VMSA-2022-0001 puissent être déployées.

Veuillez noter que cette vulnérabilité peut être temporairement corrigée en désactivant les lecteurs de CD-ROM sur toutes les machines virtuelles.

vSphere Diagnostic Tool

vSphere Diagnostic Tool est un script python qui exécute des commandes de diagnostic au niveau vCenter Server.

Cet utilitaire vous permet d’effectuer plusieurs tests et d’obtenir un résultat détaillé.

Le but est de vérifier le niveau de conformité des éléments importants de votre environnement vSphere et de rectifier les écarts.

vSphere Diagnostic Tool a déjà été testé par un groupe sélectionné au sein du support VMware pour aider à rechercher des anomalies et à fournir des informations à l’équipe produit vSphere.

Vérifications

L’outil est actuellement un ensemble de scripts python et bash autonomes qui peuvent effectuer les tests et vérifications suivants :

  • Informations de base vCenter
  • Lookup Service Check
  • AD
  • Certificat vCenter
  • Fichier de base (Core File)
  • Disque
  • DNS vCenter
  • NTP vCenter
  • Port vCenter
  • Compte Root
  • Services vCenter
  • VCHA

L’équipe de développement continuera d’ajouter de nouvelles fonctionnalités et vérifications.

Leur objectif à long terme est de rendre cet outil disponible dans tous les produits VMware actuels et futurs avec les appliances PhotonOS ainsi que ESXi.

Prérequis

vCenter Server Appliance 6.5 ou version ultérieure.

Procédure d’exécution

  • Télécharger le fichier ZIP à partir du lien : URL
  • Transférer le fichier ZIP sur le vCenter à analyser via WinSCP.
  • Décompresser le zip :

$ unzip vdt-version_number.zip

  • Accéder au dossier décompresser, ensuite, exécuter la commande suivante :

$ python vdt.py

L’outil vous demandera le mot de passe.
NB : de nombreuses vérifications seront effectuées même si les informations d’identification ne sont pas fournies.

Installing and running vSphere Diagnostic Tool

Pour plus de détails, veuillez consulter le lien suivant : URL

VMware Safe Products – Log4j

VMware Safe Products

Vous trouver dans cette article une liste des produits VMware qui ne sont pas impacté par la vulnérabilité Log4Shell du produit Log4j.

En revanche, la liste des produits VMware concernés par cette vulnérabilité est disponible sur notre article CVE-2021-44228.

VMware Safe Products

Produits Non Impactés

  • VMware vSphere ESXi
  • VMware Cloud Director (VCD)
  • VMware vCloud Availability
  • VMware NSX Advanced Load Balancer (Avi)   
  • VMware Workspace ONE Assist
  • VMware RemoteHelp
  • VMware vCloud Usage Meter
  • VMware Tanzu Kubernetes Grid
  • SaltStack
  • VMware App Volumes 
  • VMware ThinApp
  • ThinApp SDK
  • Dynamic Environment Manager (DEM) 
  • Workspace ONE Unified Endpoint Management (UEM)
  • VMware Postgres
  • VMware Tanzu RabbitMQ
  • VMware Tanzu RabbitMQ for Kubernetes
  • VMware Tanzu RabbitMQ for VMs
  • VMware Tanzu SQL with Postgres for Kubernetes
  • VMware Tanzu SQL with MySQL for Kubernetes
  • Data Management for VMware Tanzu (DMS)
  • VMware Telco Cloud Automation (TCA)
  • VMware Workstation
  • VMware Fusion
  • VMware Skyline Collector virtual appliance
  • Workspace ONE Intelligence
  • MySQL for TAS (Tanzu Application Service)
  • VMware Workstation Player
  • Cloud Director App Launchpad
  • vROps TenantApp
  • AirWatch Cloud Connector
  • VMware NSX Lastline Defender On-Premises
  • VMware NSX Lastline Defender Hosted/SaaS
  • Update Manager Download Service (UMDS)
  • Metrics Store
  • Event Alerts
  • VMware Workspace ONE Assist for Horizon
  • VMware Tools
  • VMware Tanzu Toolkit for Kubernetes
  • Secure Email Gateway
  • VMware Cloud Director App Launchpad
  • Skyline Health Diagnostics 
  • Carbon Black App Control
  • VMware Tanzu Build Service
  • Workspace ONE Tunnel
  • VMware Email Notification Service 2

Remarque : des produits supplémentaires peuvent être ajoutés à la liste.

VMware Safe Products

VMSA-2021-0028

Suite à la vulnérabilité zero-day au niveau Apache Log4j CVE-2021-44228, le 10 décembre 2021, VMware a publié l’avis de sécurité VMSA-2021-0028.

VMware, à travers VMware Security Advisories VMSA-2021-0028, confirme sa réactivité et son efficacité vis-à-vis de ces clients et des entreprises qui utilisent ces produits.

VMSA-2021-0028 (et les articles associés) est la seule source officielle et fiable de VMware pour communiquer et gérer cette vulnérabilité, contient des informations sur les produits impactés, les solutions de contournement et les correctifs dès qu’ils sont disponibles.

L’analyse d’impact, l’identification des produits concernés, la maturité des solutions de contournement (Workaround) et la disponibilité des correctifs évolueront étant donné qu’il s’agit d’une vulnérabilité zero-day et que la majorité des produits sont impactés. .

Par conséquent, vous devez suivre de près les mises à jour de VMSA-2021-0028.

VMSA-2021-0028

Produits impactés (en cours d’évaluation)

  • VMware Horizon
  • VMware vCenter Server
  • VMware HCX
  • VMware NSX-T Data Center
  • VMware Unified Access Gateway
  • VMware WorkspaceOne Access
  • VMware Identity Manager 
  • VMware vRealize Operations
  • VMware vRealize Operations Cloud Proxy
  • VMware vRealize Automation
  • VMware vRealize Lifecycle Manager
  • VMware Site Recovery Manager, vSphere Replication
  • VMware Carbon Black Cloud Workload Appliance
  • VMware Carbon Black EDR Server
  • VMware Tanzu GemFire
  • VMware Tanzu GemFire for VMs
  • VMware Tanzu Greenplum
  • VMware Tanzu Operations Manager
  • VMware Tanzu Application Service for VMs
  • VMware Tanzu Kubernetes Grid Integrated Edition
  • VMware Tanzu Observability by Wavefront Nozzle
  • Healthwatch for Tanzu Application Service
  • Spring Cloud Services for VMware Tanzu
  • Spring Cloud Gateway for VMware Tanzu
  • Spring Cloud Gateway for Kubernetes
  • API Portal for VMware Tanzu
  • Single Sign-On for VMware Tanzu Application Service
  • App Metrics
  • VMware vCenter Cloud Gateway
  • VMware vRealize Orchestrator
  • VMware Cloud Foundation
  • VMware Workspace ONE Access Connector
  • VMware Horizon DaaS
  • VMware Horizon Cloud Connector
  • VMware NSX Data Center for vSphere
  • VMware AppDefense Appliance
  • VMware Cloud Director Object Storage Extension
  • VMware Telco Cloud Operations
  • VMware vRealize Log Insight
  • VMware Tanzu Scheduler
  • VMware Smart Assurance NCM
  • VMware Smart Assurance SAM [Service Assurance Manager]
  • VMware Integrated OpenStack
  • VMware vRealize Business for Cloud
  • VMware vRealize Network Insight
  • VMware Cloud Provider Lifecycle Manager 
  • VMware SD-WAN VCO
  • (Des produits supplémentaires peuvent être ajoutés)

vSphere 7.0 Update 3 : Problèmes critiques

Certains clients ont rencontré des problèmes lors de la mise à niveau de leurs environnements vers vSphere 7.0 Update 3.

Après un examen attentif, VMware a supprimé la version ESXi 7 Update 3 du site officiel de téléchargement de produits.

Les versions récemment supprimées de vSphere 7.0 Update 3 :

  • vSphere ESXi 7.0 Update 3    (build 18644231)
  • vSphere ESXi 7.0 Update 3a  (build 18825058)
  • vSphere ESXi 7.0 Update 3b  (build 18905247)
  • vSphere vCenter 7.0 Update 3b (build 18901211)

Cette décision vise à protéger les clients contre les défaillances potentielles pouvant survenir lors de la mise à niveau vers ESXi 7 Update 3.

Bien que cela n’affecte qu’un nombre limité de clients, une fois les problèmes résolus dans ESXi 7 Update 3, les clients VMware seront informés qu’ils peuvent reprendre les mises à niveau vers ESXi 7 Update 3.

A noter que la version de VMware vCenter Server 7 Update 3 reste stable et disponible, donc pas impactée.

Les clients peuvent continuer à télécharger et mettre à niveau vers cette dernière version de vCenter Server.

Pour les clients qui ont déjà mis à niveau avec succès vers ESXi 7 Update 3, vous pouvez rester sur cette version et bénéficier d’une prise en charge complète (Full Support) de VMware.

Le problème est que les modifications apportées au pilote VIB ont provoqué des collisions de noms dans ESXi, entraînant des échecs de mise à niveau et des échecs de haute disponibilité associés.

Pour plus de détails:

VMware HCX

VMware HCX (Hybrid Cloud Extension) est une plateforme de mobilité des applications conçue pour simplifier la migration des applications, le rééquilibrage de la charge de travail et la continuité des activités dans les centres de données et les clouds.

il s’agit d’une plateforme qui efface les frontières entre les centres de données sur site et dans le cloud.

VMware HCX offre une véritable mobilité des applications et crée une hybridité d’infrastructure, vous permettant de déplacer votre charge de travail virtuelle entre les centres de données sur site et cloud.

La mobilité des charges de travail et la migration des applications entre différents emplacements nécessitent très souvent une réallocation des adresses IP, c’est un processus très perturbateur et fastidieux.

Avec l’extension de réseau automatisée fournie par HCX, cette exigence est levée et les machines virtuelles peuvent conserver leurs adresses IP et MAC.

L’ensemble de fonctionnalités du réseau, également connu sous le nom d’hybridité d’infrastructure, fournit une optimisation, un cryptage et une connectivité WAN très efficaces.

Pourtant, VMware Hybrid Cloud Extension (HCX) est probablement l’un des produits VMware les plus sous-estimés.

par conséquent, même parmi les experts en virtualisation, très peu de gens savent ce que c’est et quelle valeur cela peut apporter aux entreprises.

VMware HCX

Cas d’utilisation de VMware HCX 

  • Migration d’applications

Vous pouvez planifier et migrer des milliers de machines virtuelles vSphere au sein et entre les centres de données sans nécessiter de redémarrage.

  • Changer de plateforme ou mettre à niveau les versions de vSphere

Vous pouvez migrer à partir d’environnements vSphere et non-vSphere (KVM et Hyper-V) au sein et entre des centres de données ou cloud vers les versions actuelles de vSphere. (sans nécessiter de mise à niveau)

  • Rééquilibrage de la charge de travail

Workload Rebalancing fournit une plateforme de mobilité entre les régions cloud et les fournisseurs de cloud.

Cela pour permettre aux clients de déplacer des applications à tout moment et atteindre les objectifs d’évolutivité, coûts et conformité.

  • Continuité d’activité et protection

Avec les capacités HCX, les administrateurs peuvent protéger les charges de travail en les répliquant sur d’autres sites HCX.

Vous pouvez planifier vos migrations ou les exécuter à la demande.

Pour plus de détails, veuillez visiter le lien officiel de VMware : URL

vCenter SSH : Connection refused

Souvent, lorsque vous souhaitez vous connecter directement via SSH au vCenter Server Appliance (VCSA), vous recevez le message d’erreur suivant : vCenter SSH Connection refused.

Sauf si votre vCenter a été déployé avec SSH activé par défaut.

SSH : Connection refused
SSH : Connection refused

Pour pouvoir vous connecter, vous devez activer SSH au niveau du vCenter Server.

Sachant qu’il existe plusieurs méthodes pour activer SSH sur vCenter.

Via l’interface VAMI (Virtual Appliance Management Interface).

  1. Vous pouvez vous connecter à linterface VAMI sur le port 5480, en spécifiant le port à la fin du lien d’accès à votre vCenter : https://vcenter_fqdn_or_ip:5480/
  2. Vous pouvez également être redirigé vers VAMI depuis vSphere Client.

Accédez au Menu et sélectionnez Administration.

SSH Connection refused

Ensuite, sélectionnez Configuration système, développez le nœud et cliquez sur CONNEXION.

VAMI SSH

Une nouvelle fenêtre de navigateur s’ouvre sur la page de connexion vCenter VAMI.

Vous devrez vous connecter en tant que root.

vCenter VAMI

Dans le volet de gauche, accédez à Access.

Cela listera vos paramètres d’accès, puis sélectionnez EDIT.

NB: au niveau de cette étape vous pouvez déja visualiser l’état du SSH, pour notre cas il est bien desactivé.

Enable SSH vCenter

Activez la connexion SSH, puis validez votre choix en cliquant sur OK

Enable SSH vCenter

vCenter SSH Connection refused

VMware Tools – UpgradeAtPowerCycle

UpgradeAtPowerCycle est une option qui permet la mise à niveau de VMware Tools automatiquement au démarrage/redémarrage d’une machine virtuelle.

L’activation de cette option permet d’automatiser l’exécution de deux tâches lors du démarrage de vos machines :

  1. Vérification de l’état de VMware Tools.
  2. Mise à jour de VMware Tools (si nécessaire).

Dans de nombreux cas et selon le système d’exploitation de la machine, cela peut entraîner un redémarrage supplémentaire une fois l’installation terminée.

Pour plus de précision, depuis Windows Server 2016, VMware Tools n’a plus besoin d’un redémarrage lors de la mise à niveau.

Vous pouvez activer UpgradeAtPowerCycle dans les paramètres avancés de la machine virtuelle via vSphere Client, plus précisément dans Options VM.

Paramètres VM

Parlons automatisation et PowerCLI ?‍??

Voyons donc comment vous pouvez vérifier l’état de cette fonctionnalité à l’échelle d’une grande plateforme via une seule commande à l’aide du PowerCLI.

Get-Datacenter -name « DC NAME » | Get-VM | Get-View | select name,@{N=’ToolsUpgradePolicy’;E={$_.Config.Tools.ToolsUpgradePolicy } } |Sort Name

Etat UpgradeAtPowerCycle

Vu que nous avons identifié les machines virtuelles pour lesquelles cette fonctionnalité n’est pas activée.

Après cela, vous pouvez activer cette option en ligne de commande PowerCLI :

  • Activer l’option pour une VM spécifique

Set-vmToolsPolicy -vm MyVmName –ToolsUpgradePolicy UpgradeAtPowerCycle

  • Activer/configurer l’option pour toutes les VMs

Get-VM | Set-vmToolsPolicy -ToolsUpgradePolicy UpgradeAtPowerCycle

Articles Liés ? :

VMware OVF Tool

VMware OVF Tool (Open Virtualization Format Tool) est un outil qui permet d’importer/exporter des machines virtuelles via ligne de commande.

De nombreux cas d’utilisation (Use case) nécessitent d’importer/exporter des VM, tels que :

  • Déplacement de machines virtuelles entre vCenter (Cross-vCenter VMotion) sans licence ‘’Enterprise Plus‘’.
  • Migration de machines virtuelles entre DataCenter VMware, lors d’un projet de migration (Move Datacenter).
  • Déplacement de machine virtuelles chez un nouvel hébergeur.

Nous verrons ensemble à travers cet article comment installer l’outil OVF Tool et exporter une VM hébergée sur un serveur VMware ESXi.

Prérequis

  • Compte avec droit admin au niveau de votre machine (Windows) pour pouvoir installer OVF tool.
  • Compte avec droit admin au niveau vCenter.
  • La machine virtuelle doit être dans un état arrêt.
  • Disposer de suffisamment d’espace de stockage pour héberger l’export OVF/OVA.

Télécharger et installer l’outil VMware OVF

Le programme d’installation de l’outil OVF est disponible pour Windows, Linux et MAC OSX.

Vous pouvez télécharger l’outil VMware OVF sur le site Web de VMware : URL

Une fois l’outil téléchargé, l’installation est assez simple.

Install OVF Tool

Lorsque l’installation de VMware OVF Tool est terminée, utilisez l’invite de commande CMD pour accéder à l’outil OVF sur le chemin c:\Program Files\VMware\VMware OVF Tool

Découvrir le chemin de la VM

Si vous ne connaissez pas le chemin de la VM, vous pouvez le découvrir.

Il faut se connecter au vCenter via les identifiants d’accès, en indiquant l’adresse IP ou le nom de votre vCenter sur cette commande

ovftool.exe vi://vcenter-name

Pour répertorier les machines virtuelles exécutées sur vCenter Server, vous pouvez exécuter la commande ci-dessous

ovftool.exe vi://<vcenter-name>/DC-NAME/vm/

Cette commande affiche la liste des VMs disponibles au niveau du dossier VM.

Afficher les détails de la VM OVF

Pour avoir une idée sur la taille et les détails de la VM OVF, vous pouvez exécuter la commande suivante

ovftool.exe vi://<vcenter-name>/DC-NAME/vm/vm-name

Export VM vers OVF

Pour exporter la VM au format OVF, utilisez la commande « ovftool.exe vi:// » en précisant le chemin de la VM et le chemin de destination sur lequel on veut déposer l’export

ovftool.exe vi://<vcenter-name>/<DC-NAME>/vm/vm-name  <patch to save the OVF file>

Export VM vers OVA

L’export au format OVA est similaire à l’export d’une VM au format OVF, il suffit d’indiquer le nom du fichier avec suffixe (.ova) à la fin du chemin de destination

ovftool.exe vi://<vcenter-name>/<DC-NAME>/vm/vm-name  <Folder path to save the OVA file\ova-name.ova>

Suivi de l’export

  1. Lors de l’exécution de l’export VM, nous pouvons suivre la progression de l’opération via la même fenêtre CMD.
  2. Lorsque l’exportation de la VM est terminée avec succès, le message suivant s’affiche : “Completed Successfully ».
Badr Eddine CHAFIQ