Une faille critique VMware exploitée.

Une faille critique VMware exploitée dans des attaques.

VMware met en garde contre une faille critique de vRealize exploitée dans des attaques. VMware a mis à jour un avis de sécurité publié il y a deux semaines pour avertir les clients qu’une vulnérabilité critique désormais corrigée permettant l’exécution de code à distance est activement exploitée dans des attaques. “VMware a confirmé que l’exploitation de CVE-2023-20887 s’est produite dans la nature”, a déclaré la société aujourd’hui.

VMware Aria Operations est une plate-forme unifiée de gestion des opérations informatiques autonomes basée sur l’intelligence artificielle pour les environnements privés, hybrides et multi-cloud. VMware Aria Operations prend en charge VMware Cloud on AWS, Amazon Web Services (AWS), Google Cloud Platform, Microsoft Azure et les clouds privés sur site basés sur vSphere. VMware Aria Operations offre une optimisation continue des performances, une gestion efficace de la capacité et des coûts, une correction intelligente et une conformité intégrée. Les modules de gestion dans VMware Aria Operations permettent d’étendre les fonctionnalités de surveillance, de dépannage et de correction de SDDC et de solutions tierces. Pour plus d’informations, reportez-vous à la Documentation de VMware Aria Operations for Integrations.

Aria Operations for Networks contient une vulnérabilité d’injection de commande. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité critique avec un score de base CVSSv3 maximum de 9,8. Un acteur malveillant disposant d’un accès réseau à VMware Aria Operations for Networks peut être en mesure d’effectuer une attaque par injection de commande entraînant l’exécution de code à distance. VMware a confirmé que l’exploitation de CVE-2023-20887 s’est produite dans la nature.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.

VMware est une société informatique américaine fondée en 1998, filiale d'EMC Corporation depuis 2004, qui propose plusieurs produits propriétaires liés à la virtualisation d'architectures x86. C'est aussi par extension le nom d'une gamme de logiciels de virtualisation. VMware assure la Création des applications Cloud, il modernise celles existantes et gère l’infrastructure qui les fournit quel que soit le Cloud. En matière de réseau, il accélère les opérations des applications modernes avec la virtualisation du réseau et de la sécurité pour WAN, Data Center et Cloud. Il déploie chaque application, sur tout type de Cloud, partout, du cœur et du RAN, à la périphérie et au Cloud. Le 26 mai 2022, Broadcom confirme l'achat de VMWare pour 61 milliards de dollars et espère devenir « le leader mondial des technologies d'infrastructure ». VMware travaille avec Spring Framework, Spring Boot et Apache Tomcat depuis des années. Le runtime VMware Spring facilite la prise en charge d’ OpenJDK. Des formules d’abonnement annuel sont disponibles par pod et par cœur. Le runtime s’adapte aux dimensions de l'entreprise, quel que soit le nombre de machines virtuelles Java (JVM).

Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut