CYBER ALERTESNon classé

Multiples vulnérabilités affectant VMware vCenter Server

Photo de ACM_Admin ACM_Admin28 septembre 2021
0 2 Moins d’une minute
vmware-vsphere-alert

VMware vCenter Server est un utilitaire de gestion de serveurs utilisé pour la gestion des machines virtuelles, des hôtes ESXi et autres composants dépendants à partir d’un seul emplacement centralisé.

VMware a récemment publié et corrigé dans son avis de sécurité VMSA-2021-0020 des correctifs concernant dix-neuf (19) vulnérabilités qui affectent l’utilitaire en question. La plus grave et urgente d’entre elles libellée CVE-2021-22005 est une vulnérabilité de téléchargement de fichier arbitraire dans le service Analytics qui affecte les versions 6.7 et 7.0 de vCenter Server.

En effet, quels que soient les paramètres de configuration de vCenter Server, un acteur malveillant ayant un accès réseau au port 443 sur vCenter Server peut exploiter cette faille puis exécuter du code en téléchargeant un fichier spécialement conçu.

Par ailleurs, plusieurs autres vulnérabilités affectent également le produit VMware vCenter Server. Il s’agit des vulnérabilités suivantes :

  • CVE-2021-1991 : Elévation de privilèges par l’exploitation d’une vulnérabilité d’accès utilisateur non-administrateur sur vSphere Client.

  • CVE-2021-22006: Accès aux endpoints restreints par l’exploitation d’une vulnérabilité via le port 443 sur vCenter Server.

  • CVE-2021-22011: Manipulation des paramètres réseau de la machine virtuelle non authentifiée par l’exploitation d’une vulnérabilité via le port 443 sur vCenter Server.

  • CVE-2021-22015: Elévation de privilèges à la racine sur vCenter Server Appliance par l’exploitation d’une vulnérabilité d’utilisateur local authentifié avec des privilèges non-administrateur « root ».

  • CVE-2021-22012, CVE-2021-22013: Accès aux informations sensibles par l’exploitation d’une vulnérabilité de l’accès réseau via le port 443 sur vCenter Server.

  • CVE-2021-22016: Exécution de scripts malveillants par l’exploitation de la vulnérabilité XSS réfléchie en incitant une victime à cliquer sur un lien malveillant.

  • CVE-2021-22017: Vulnérabilité de contournement du proxy menant vers des endpoints internes par l’exploitation du port 443 sur vCenter Server.

  • CVE-2021-22014: Exécution de code sur le système d’exploitation sous-jacent qui héberge vCenter Server par l’exploitation d’une vulnérabilité via le port 5480 avec un utilisateur VAMI authentifié.

  • CVE-2021-22018: Suppression de fichiers non critiques par l’exploitation d’une vulnérabilité via le port 9087 sur vCenter Server.

  • CVE-2021-1992: Déni de service possible sur vCenter Server par l’exploitation d’une vulnérabilité d’utilisateur authentifié avec des privilèges non-administrateur.

  • CVE-2021-22007: Accès à des informations sensibles par l’exploitation d’une vulnérabilité d’utilisateur authentifié avec des privilèges non-administrateur.

  • CVE-2021-22019: Déni de service dû à l’exploitation d’une faille via le port 5480 sur vCenter Server en envoyant un message « jsonrpc » spécialement conçu.

  • CVE-2021-22009: Déni de service en raison d’une consommation excessive de mémoire par le service VAPI via le port 443 sur vCenter Server.

  • CVE-2021-22010: Déni de service dû à une consommation excessive de mémoire par le service VPXD via le port 443 sur vCenter Server.

  • CVE-2021-22008: Exploitation d’une faille par l’envoi d’un message « jsonrpc » spécialement conçu pour accéder aux informations sensibles via le port 443 sur vCenter Server.

  • CVE-2021-22020: Possibilité de création d’une condition de déni de service sur vCenter Server.

  • CVE-2021-1993 : Divulgation d’information via l’accès d’un utilisateur autorisé à la bibliothèque de contenu cette faille par l’envoi d’une requête POST à ​​vCenter Server.

RISQUES

  • Exécution de code à distance

  • Compromission du système

  • Indisponibilité du service

SYSTEMES AFFECTÉS 

  • Les versions 7.0, 6.7 et 6.5 de VMware vCenter Server

  • VMware Cloud Foundation

MESURES À PRENDRE 

Il est fortement recommandé de :

  • Appliquer les dernières mises à jour (7.0 U2c, 7.0 U2d, 6.7 U3o, 6.5 U3q) de VMware vCenter Server.

  • Vérifier que le système n’a pas été compromis avant d’appliquer les correctifs.

  • Restreindre l’accès réseau au port « TCP 443» aux hôtes autorisés ou accessible via un VPN

  • Appliquer le principe du moindre privilège à tous les systèmes et services.

 

Source : The Hacker News
Tags
Photo de ACM_Admin ACM_Admin28 septembre 2021
0 2 Moins d’une minute
Photo de ACM_Admin

ACM_Admin

Articles similaires

redhat_linux_10423

Multiples vulnérabilités dans le noyau Linux de RedHat

10 avril 2023
Le Nigéria veut rejoindre le Forum mondial sur la vie privée CBPR : un pas stratégique pour la souveraineté numérique

Le Nigéria veut rejoindre le Forum mondial sur la vie privée CBPR : un pas stratégique pour la souveraineté numérique

2 mai 2025
lazarus_eset

Lazarus s’attaque à une entreprise de fret en Afrique du Sud via une porte dérobée

21 avril 2021
crowdsec-hwb

Hackers Sans Frontières et CrowdSec signent un partenariat au service de la société civile

13 juin 2022

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
vaycasinomilbetalgototohttps://algototo.digital/nobartvdepo 5kslot gacordeposit 5000slot onlineslot online link 5k deposit slot tanpa potongan agb99 deposit 5k deposit 5k dana slot danacasibomcasibom girişpadişahbetbetwoonnitrobahissonbahisgrandpashabetvegabetcasino levantholiganbetholiganbet girişholiganbet güncelholiganbet güncel girişmatbet girişmatbet güncelmatbet güncel girişmilosbetbetofficetimebetcratosroyalbetcratosroyalbet girişcratosroyalbet güncelcratosroyalbet güncel girişcasinolevantcasino levantholiganbet girişholiganbet güncelholiganbet güncel girişholiganbet güncel girişmatbetmatbet girişgrandpashabetultrabetenbetgalabethiltonbetpadişahbetsuratbetsüratbetbetplayatlasbetkralbetwinxbetalmanbahisholiganbetholiganbet girişmeritkingmeritking girişmeritkingmeritking girişvaycasinovaycasino girişptt kargoptt kargo takipptt kargo sorgulamaptt kargo iletişimaras kargoaras kargo takiparas kargo sorgulamaaras kargo iletişimvegabetvegabetgalabetgalabetvdcasinovdcasinovdcasinovaycasinovaycasino girişrestbetrestbetbetkolikbetkolikgalabetvdcasinomilosbettimebetultrabetvegabetgalabetvdcasinomilosbettimebetultrabetlunabetonwinberlinbetrestbetbetplayraddissonbetgrandpashabetholiganbetholiganbet girişcasibomcasibom girişcasibomcasibom girişcratosroyalbetcratosroyalbet girişholiganbetkralbetdeposit 10kdeposit 5kslot qrisslot danaslot danaslot gacorslot tanpa potonganagb99grandpashabetbetciosetrabetultrabetbahiscasinovegabetbetasustimebetbetplaygalabetsüratbetsuratbetcratosroyalbetcratosroyalbet girişberlinbetbetovishilarionbetkralbetromabetgrandpashabetmatbetrestbetlunabetvaycasinovaycasino girişbetplayenbetatlasbetgrandpashabetgrandbettingsonbahiscratosroyalbetsuratbetsüratbetvaycasinovaycasino girişultrabetultrabet girişoslobetoslobet girişcasibom güncelgalabetgalabet girişbahiscasinobetmarinocasinoroyalholiganbetholiganbet girişvaycasinovaycasino girişbahislionnitrobahismaksibetcasinowoncasinoroyalbetovisbetmarinotambetngsbahisngsbahis girişsuratbetsüratbetbetplayholiganbetholiganbet girişasyabahisasyabahis girişsetrabetsetrabet girişvaycasinovaycasino girişgrandpashabetgrandpashabet girişholiganbetholiganbet girişultrabetultrabet girişgalabetgalabet girişvegabetvegabet girişmilosbetmilosbet girişbahislionnitrobahismatadorbetbahiscasinobetplaybetciograndbettingromabettambetcasiverasuratbetsüratbetvegabetvegabet girişlunabetradissonbetkralbetkralbet girişgrandpashabetgrandpashabet girişkralbetberlinbetzirvebetvaycasinovaycasino girişkralbetkralbet girişavrupabetmatadorbetbettiltvegabetvegabet girişgalabetgalabet girişgrandpashabetgrandpashabet girişbahislionbahisliongalabetgalabet girişyakabetvaycasinosuratbetsuratbetsuratbetkralbet girişkralbetholiganbetholiganbet girişenbettimebettimebet girişnerobetinterbahismatadorbetmatadorbet girişkralbetkralbet girişholiganbetholiganbet girişenjoybetenjoybet girişavrupabetavrupabet girişkralbetkralbet girişwinxbetwinxbetbetticketbetbetticketbetaresbetaresbet girişaresbet resmi girişaresbetaresbet girişaresbet resmi girişkavbetkavbet girişkavbet güncel girişgrandpashabetgrandpashabet girişjojobetvaycasinovaycasino girişcasibomholiganbetzirvebetzirvebet girişholiganbetholiganbet girişkingroyalkingroyal girişkingroyal güncel girişkralbetkralbet girişpadişahbetpadişahbet girişbetwoonbetciobetwoonbetwoon girişcratosroyalbetcratosroyalbet girişgalabetgalabet girişcasinofastcasinofast girişgrandpashabetgrandpashabet girişholiganbetholiganbet giriştambetenbetbetovisbahislionnitrobahismaksibetultrabetultrabet girişvaycasinoyakabetbahiscasinosuratbetsüratbetkralbetkralbet girişkingroyalkingroyal girişkingroyal güncel girişkralbetkralbet girişbetwoonbetwoon girişbetciobetcio girişcratosroyalbetcratosroyalbet girişbetasusbetasus girişvegabetvegabet girişpadişahbetpadişahbet girişgrandpashabetgrandpashabet girişmeritkingavrupabetavrupabet girişavrupabet girişbetasuscratosroyalbetcratosroyalbetcratosroyalbetbetplaybetplaybetplaybetplaybettiltbettiltbettiltbettiltcasinofastcasinofast girişbettiltbettiltbettiltceltabetbetticketbetticketjojobetjojobet girişjojobet güncel girişcratosroyalbetcratosroyalbet girişmeritkingmeritking girişvenombetpadişahbetpadişahbet girişultrabetcasibomaresbetjojobetmadridbetbetnanojokerbetkralbetkralbet girişjokerbet giriş 2026cratosroyalbetcratosroyalbet girişbetasusbetasus girişbetwoonbetwoon girişcasinofastcasinofast girişcasibombetasus güncel girişbetasusbatumslotbetnefbovbetbetasus girişkalitebetmetrobahislordcasinobetofficebetoffice girişparmabetvaycasinokralbetkralbet girişalobetalobet girişartemisbetartemisbet girişmeritbetmeritbet güncel girişcratosroyalbetgalabetcratosroyalbetgalabet girişbayconticasinobetnefbets10bets10vaycasinovaycasino girişorisbet girişorisbet güncelmarsbahismarsbahis girişbetnanobetnano girişzirvebetzirvebet girişcasibomcasibomvaycasinovaycasino girişholiganbetholiganbet girişcratosroyalbetcratosroyalbet girişpusulabetpusulabet girişextrabetextrabet girişcasino levantcasino levant girişcasinolevantlevant casinomarsbahismarsbahis girişholiganbetholiganbet girişholiganbet güncel girişholiganbetholiganbet girişholiganbet güncel girişgrandpashabetgrandpashabet girişkavbetkavbet güncel girişkralbetkralbet girişcratosroyalbetcratosroyalbet girişultrabetultrabet girişzirvebetzirvebet girişgalabetgalabet girişjojobetjojobet girişvegabetjojobetjojobet girişvegabet giriştimebettimebet girişvaycasinovaycasino girişnisanbetbetasusnisanbet girişbetasus girişcasibomcasibom girişcasibom girişbetciobetcio girişjojobetjojobetjojobetmeritkingholiganbetkralbetkralbet girişvaycasinovaycasino girişmeritkinggrandpashabetvaycasinovaycasino girişcasibomcasibom girişcasibom güncel girişcasibommilosbet girişcasibom güncel girişcasibomjojobetholiganbetjojobet girişholiganbet girişholiganbet güncel girişmatbetmatbet girişmatbet güncel girişzirvebetzirvebet girişzirvebetzirvebet girişjojobetjojobet girişholiganbetholiganbet girişholiganbet güncel girişjojobetjojobet girişcratosslotcratosslot girişcratosslot güncel girişzirvebetzirvebet girişjojobetmeritkingatlasbetatlasbet girişmeritkingmeritking girişkralbetkralbet girişvaycasinokralbetkralbet girişenbetcasibom girişcasibomcasibomcasibom girişbahisliongalabetgalabet girişHoliganbetvegabetvegabet girişvdcasinovdcasino girişkavbetkavbet güncel girişcratosroyalbetcratosroyalbet giriştambetjojobetmegabahismegabahis girişmegabahis güncel girişyakabetbahiscasinovaycasinovaycasino girişjojobet girişjojobetjojobet girişrodosbetbetticketrodosbetbetticketCasibomCasibom GirişCasibom Güncel Girişbetciobetcio girişJojobetJojobet GirişJojobet Güncel Girişenjoybetmarsbahismarsbahis girişmarsbahis güncel girişcasibom girişjojobetJojobetcasibomcasibom girişmatbetmatbet girişbettiltbettilt girişbettiltbettilt girişjojobetjojobetjojobetvaycasinovaycasino girişzirvebetjojobetjojobetjojobet girişbetasusbetasus girişholiganbetholiganbet girişcasinofastcasinofast girişjojobetjojobet girişkralbetvegabetmilosbetmilosbet girişpusulabetmeritkingmeritking girişmeritkingmeritking girişmeritkingmeritking girişjojobetjojobet girişvaycasinoholiganbet girişenbet