Broadcom a corrigé une faille de VMware vCenter Server en juin 2024. Des attaquants l'exploitent aujourd'hui, et la CISA américaine vient de l'ajouter à son catalogue des vulnérabilités utilisées en conditions réelles.
Le fournisseur de semi-conducteurs et de télécommunication Broadcom a publié vendredi une mise à jour de son avis de sécurité du 18 juin 2024. L'entreprise confirme que la CVE-2024-37079 fait l'objet d'attaques concrètes. Cette vulnérabilité touche VMware vCenter Server et obtient un score de 9,8 sur 10 sur l'échelle CVSS. Un attaquant qui accède au réseau vCenter peut envoyer des paquets spécialement conçus pour exécuter du code à distance sur le serveur. La faille se situe dans l'implémentation du protocole DCERPC que vCenter utilise pour permettre à un logiciel d'exécuter des procédures sur un système distant via le réseau.
Le même jour, l'Agence américaine de cybersécurité et de sécurité des infrastructures a ajouté cette faille à son catalogue KEV. Les agences fédérales américaines ont jusqu'au 13 février pour déployer le correctif. Broadcom avait pourtant publié ce correctif il y a plus d'un an et demi. Les entreprises qui ne l'ont pas appliqué laissent leurs serveurs de virtualisation à la merci d'attaquants qui disposent désormais de toutes les informations techniques nécessaires pour les compromettre.
Des groupes chinois déjà actifs sur des failles similaires
Caitlin Condon dirige la recherche en sécurité chez VulnCheck. Elle rappelle que l'infrastructure de virtualisation attire autant les cybercriminels motivés par l'argent que les pirates soutenus par des gouvernements. « La vulnérabilité CVE-2023-34048, une faille antérieure du protocole DCERPC de vCenter Server, a été exploitée par au moins trois acteurs de la menace liés à la Chine », explique-t-elle. Fire Ant, Warp Panda et UNC3886 ont tous ciblé cette même infrastructure.
Les détails techniques de la CVE-2024-37079 circulent publiquement depuis plus d'un an. « Il n'est pas très surprenant que cette vulnérabilité ait été exploitée concrètement », analyse-t-elle. Les groupes parrainés par des États exploitent de manière opportuniste les informations publiques sur les vulnérabilités, même anciennes, pour mener de nouvelles attaques. La Russie a de son côté envahi les messageries des dirigeants de Microsoft tandis que la Chine s'est attaquée aux serveurs vCenter. Ces deux pays coordonnent leurs offensives sur des infrastructures que les entreprises considèrent comme critiques mais qu'elles ne protègent pas toujours avec le niveau de vigilance requis.
Un accès déjà établi dans les réseaux ciblés
Broadcom n'a fourni aucun détail sur l'étendue de l'exploitation de la faille ni répondu aux questions concernant son utilisation abusive. La CISA indique de son côté que l'usage de cette vulnérabilité dans des campagnes de ransomware reste « inconnu » pour le moment. Caitlin Condon souligne toutefois un point technique important. « vCenter Server ne devrait jamais être exposé à Internet », précise-t-elle. L'adversaire avait donc probablement déjà un point d'appui dans l'environnement de sa victime avant d'exploiter la faille.
Les attaquants ne profitent donc pas d'une exposition directe sur Internet mais d'un accès préalable au réseau interne. Ils associent plusieurs techniques pour progresser dans l'infrastructure, et la faille de vCenter leur offre un moyen d'escalader leurs privilèges ou d'exécuter du code sur des serveurs qu'ils n'auraient pas pu compromettre autrement.
Les entreprises qui ont reporté le déploiement du correctif de juin 2024 découvrent aujourd'hui que leurs serveurs de virtualisation peuvent servir de tremplin à des opérations d'espionnage ou de sabotage pilotées depuis Pékin ou Moscou.
Mieux vaut tard que jamais pour mettre à jour les serveurs.
Source : The Register, Broadcom
