VMware corrige des failles de sécurité critiques

Cybersécurité

VMware a récemment publié des correctifs pour plusieurs failles de sécurité critiques, quelques jours à peine après que deux d’entre elles aient été dévoilées au cours d’une conférence sur la cybersécurité au Canada.

failles de securite

Les mises à jour publiées par l’entreprise portaient en tout sur cinq vulnérabilités critiques et concernaient ses produits vSphere ESX-i, VMware Workstation Pro/Player et VMware Fusion Pro/Fusion.

Une équipe appelée Fluoroacetate a exploité les deux premières failles de sécurité lors du concours Pwn2Own de la conférence sur la cybersécurité CanSecWest, qui s’est déroulée à Vancouver du 20 au 22 mars, ce qui leur a permis de remporter une récompense de 70 000 $ (environ 62 000€).

Selon l’alerte de sécurité de VMware, publiée le 28 mars, ces deux problèmes concernaient une vulnérabilité de lecture/écriture inhabituelle ainsi qu’une vulnérabilité de type “Time-Of-Check Time-Of-Use” (TOCTOU) dans l’interface du contrôleur hôte universel virtuel utilisée par ESXi, Workstation et Fusion. Un attaquant doit avoir accès à une machine virtuelle dotée d’un contrôleur USB virtuel, a déclaré l’avertissement, ajoutant qu’il pourrait permettre à une machine virtuelle invitée d’exécuter du code sur le système hôte.

Les troisième et quatrième failles de sécurité concernaient des problèmes d’écriture inhabituels au niveau des adaptateurs de réseau virtuels de VMware Workstation et e1000 et e1000e de Fusion. Les deux pouvaient autoriser l’exécution de code sur l’hôte à partir d’un invité, mais ce dernier était plus susceptible d’entraîner une attaque par déni de service sur la machine virtuelle invitée, a déclaré VMware.  Enfin, VMware a déclaré que son produit Fusion contenait une vulnérabilité de sécurité provenant d’une API (application programming interface) non authentifiée qui autorise l’accès à un menu d’application via un socket web.

Cela pourrait permettre à un cybercriminel de duper l’utilisateur hôte en lui faisant exécuter du code JavaScript malveillant. JavaScript peut, à son tour, manipuler la machine virtuelle de l’invité via l’utilitaire VMware Tools, permettant ainsi d’améliorer la communication entre l’hôte et l’invité. À partir de là, un attaquant pourrait exécuter diverses commandes sur la machine invitée, a déclaré l’éditeur du logiciel, remerciant les chercheurs indépendants CodeColorist (@CodeColorist) et Csaba Fitzl (@theevilbit) pour avoir signalé le problème.

Code Colorist a découvert l’origine de cette faille, et Fitzl a pris le relai. Dans un article détaillant la faille, Fitzl a expliqué :

Vous pouvez contrôler entièrement toutes les machines virtuelles (également créer/supprimer des snapshots, comme vous le souhaitez) via cette interface websocket, notamment en lançant des applications.

Code Colorist a expliqué que vous voyez normalement des exploits sortir de la machine virtuelle invitée vers l’hôte, mais ici il s’agit d’un exploit plus rare qui va dans l’autre sens :

Les numéros CVE suivants ont été attribués à ces vulnérabilités, dans l’ordre, mais au moment de la rédaction de cet article, les détails de toutes les entrées n’avaient pas encore été uploadées :

CVE-2019-5514
CVE-2019-5515
CVE-2019-5518
CVE-2019-5519
CVE-2019-5524

Quoi faire ?

VMware conseille aux clients de consulter les notes des correctifs/publications pour leur produit et les versions associées. Des informations détaillées sur les correctifs pour les différents produits sont disponibles dans l’alerte de sécurité.


Billet inspiré de VMware patches critical vulnerabilities, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.