[Nicolas Coolman]

Bulletin de sécurité dans les produits VMware

Bulletin de sécurité VMware VMSA-2021-0016 du 05 août 2021

(CVE-2021-22002, CVE-2021-22003) – VMware Workspace ONE Access, Identity Manager et vRealize Automation résolvent plusieurs vulnérabilités. (Sources)

VMware Workspace ONE Access et Identity Manager permettent d’accéder à l’application Web /cfg et aux points de terminaison de diagnostic, sur le port 8443, via le port 443 à l’aide d’un en-tête d’hôte personnalisé. VMware a évalué ce problème comme étant de gravité « importante » avec un score de base CVSSv3 maximum de 8,6.

Un acteur malveillant disposant d’un accès réseau au port 443 pourrait falsifier les en-têtes d’hôte pour faciliter l’accès à l’application Web /cfg. De plus, un acteur malveillant pourrait accéder aux points de terminaison de diagnostic /cfg sans authentification.

Multiples vulnérabilités dans les produits VMware

De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité. (Sources)

Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

VMware est une société informatique américaine fondée en 1998, filiale d'EMC Corporation depuis 2004, qui propose plusieurs produits propriétaires liés à la virtualisation d'architectures x86. C'est aussi par extension le nom d'une gamme de logiciels de virtualisation. VMware assure la Création des applications Cloud, il modernise celles existantes et gère l’infrastructure qui les fournit quel que soit le Cloud. En matière de réseau, il accélère les opérations des applications modernes avec la virtualisation du réseau et de la sécurité pour WAN, Data Center et Cloud. Il déploie chaque application, sur tout type de Cloud, partout, du cœur et du RAN, à la périphérie et au Cloud. Le 26 mai 2022, Broadcom confirme l'achat de VMWare pour 61 milliards de dollars et espère devenir « le leader mondial des technologies d'infrastructure ». VMware travaille avec Spring Framework, Spring Boot et Apache Tomcat depuis des années. Le runtime VMware Spring facilite la prise en charge d’ OpenJDK. Des formules d’abonnement annuel sont disponibles par pod et par cœur. Le runtime s’adapte aux dimensions de l'entreprise, quel que soit le nombre de machines virtuelles Java (JVM).

Nicolas Coolman

[Nicolas Coolman]

Vulnérabilité dans VMware Workspace

Une vulnérabilité a été découverte dans la console VMware Workspace ONE UEM. Elle permet à un attaquant de provoquer un déni de service à distance. (Sources)

Bulletin de sécurité VMware VMSA-2021-0017 du 19 août 2021

Une vulnérabilité de déni de service dans la console VMware Workspace ONE UEM a été signalée en privé à VMware. Des correctifs sont disponibles pour corriger cette vulnérabilité dans les produits VMware concernés.

L’API REST de VMware Workspace ONE UEM contient une vulnérabilité de déni de service. VMware a évalué ce problème comme étant de gravité « modérée » avec un score de base CVSSv3 maximum de 5,3 . (Sources)

Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.

Nicolas Coolman

[Nicolas Coolman]

Bulletin de sécurité VMware VMSA-2021-0018 du 24 août 2021

Plusieurs vulnérabilités dans VMware vRealize Operations ont été signalées en privé à VMware. Des correctifs et des solutions de contournement sont disponibles pour remédier à ces vulnérabilités dans les produits VMware concernés. L’API vRealize Operations Manager contient une vulnérabilité de lecture de fichier arbitraire. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 4,4 . (Sources)

De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à l’intégrité des données et une atteinte à la confidentialité des données. (Sources)

La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.

De manière générale, l'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation. L'intégrité des données comprend quatre éléments : l'intégralité, la précision, l'exactitude/authenticité et la validité. L'intégrité est l'une des exigences de base de la sécurité informatique, de la gestion documentaire et de l'archivistique. L'intégrité physique concerne le matériel et les moyens mis en œuvre en matière de stockage, de sauvegarde et de récupération des données. L'intégrité logique se base sur la conservation des données relationnelles dans une base de données.

Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

Nicolas Coolman

[Nicolas Coolman]

Bulletin de sécurité VMware VMSA-2021-0024 du 19 octobre 2021

Une vulnérabilité a été découverte dans VMware vRealize Operations. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données. (Sources)

Nicolas Coolman

[Nicolas Coolman]

Bulletin de sécurité VMware cve-2021-22044 du 26 octobre 2021

De multiples vulnérabilités ont été découvertes dans VMware Spring. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l’intégrité des données et une atteinte à la confidentialité des données. (Sources)

Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.

De manière générale, l'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation. L'intégrité des données comprend quatre éléments : l'intégralité, la précision, l'exactitude/authenticité et la validité. L'intégrité est l'une des exigences de base de la sécurité informatique, de la gestion documentaire et de l'archivistique. L'intégrité physique concerne le matériel et les moyens mis en œuvre en matière de stockage, de sauvegarde et de récupération des données. L'intégrité logique se base sur la conservation des données relationnelles dans une base de données.

La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.

Nicolas Coolman

[Nicolas Coolman]

Bulletin de sécurité VMware cve-2021-22051 du 04 novembre 2021

Une vulnérabilité a été découverte dans VMware Spring. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité. (Sources)

CVE-2021-22051 : Vulnérabilité de demande de Spring Cloud Gateway. Les applications utilisant Spring Cloud Gateway sont vulnérables aux demandes spécialement conçues qui pourraient faire une demande supplémentaire sur les services en aval. (Sources)

Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

Nicolas Coolman

[Nicolas Coolman]

Bulletin de sécurité VMware VMSA-2021-0030 du 17 décembre 2021

Plusieurs vulnérabilités ont été signalées en privé à VMware. Des correctifs sont disponibles pour remédier à cette vulnérabilité dans les produits VMware concernés. VMware Workspace ONE Access et Identity Manager contiennent une contrefaçon de demande côté serveur. VMware a évalué ce problème comme étant de gravité modérée. Un acteur malveillant disposant d’un accès réseau peut être en mesure de faire des requêtes HTTP vers des origines arbitraires et de lire la réponse complète. (Sources)

Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.

Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

Nicolas Coolman

[Nicolas Coolman]

Bulletin de sécurité VMware VMSA-2022-0001 et VMware KB87249 du 04 janvier 2022

Une vulnérabilité a été découverte dans les produits VMware. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
(Sources)

CVE-2021-22045 – Une vulnérabilité de débordement de tas dans VMware Workstation, Fusion et ESXi a été signalée en privé à VMware. Des mises à jour sont disponibles pour corriger cette vulnérabilité dans les produits VMware concernés. (Sources)

Instructions de contournement pour CVE-2021-22045 sur les hôtes VMware ESXi (87249).VMware a enquêté sur CVE-2021-22045 et a déterminé que la possibilité d’exploitation peut être supprimée en effectuant les étapes détaillées dans la section Solution de contournement de cet article. Cette solution de contournement est censée être une solution temporaire jusqu’à ce que les mises à jour documentées dans VMSA-2022-0001 puissent être déployées. (Sources)

Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.

Nicolas Coolman

[Auteur]

Messages