Le 25 mai 2021, VMware a publié un correctif pour la vulnérabilité CVE-2021-21985 affectant le greffon Virtual SAN Health Check qui est installé par défaut dans vCenter Server.

L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code arbitraire à distance avec un haut niveau de privilèges. De plus, des codes d’attaques sont disponibles publiquement pour la vulnérabilité CVE-2021-21985 et le CERT-FR a connaissance d’exploitations actives de celle-ci.

Le CERT-FR rappelle que les interfaces de gestion ne doivent pas être accessibles directement sur internet. Toutefois, le CERT-FR constate la disponibilité d’un certain nombre d’interfaces de gestion vCenter sur internet. A ce sujet, l’ANSSI a publié les guides suivants concernant l’accès sécurisé à distance :

• https://www.ssi.gouv.fr/administration/guide/recommandations-de-securite-pour-les-architectures-basees-sur-vmware-vsphere-esxi/ (pour ESXi 5)
• https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/ (de portée plus générale)

RISQUE(S)

• Exécution de code arbitraire à distance

SYSTÈMES AFFECTÉS

• vCenter Server versions 7.0 antérieures à 7.0 U2b
• vCenter Server versions 6.7 antérieures à 6.7 U3n
• vCenter Server versions 6.5 antérieures à 6.5 U3p
• Cloud Foundation (vCenter Server) versions 4.x antérieures à 4.2.1
• Cloud Foundation (vCenter Server) versions 3.x antérieures à 3.10.2.1

CONTOURNEMENT PROVISOIRE

• Dans la foire au questions concernant l’avis VMSA-2021-0010 (cf. section Documentation), VMware déconseille la désactivation du greffon vSAN pour des périodes prolongées.
• L’application du correctif est donc la seule solution pour se protéger efficacement contre la vulnérabilité CVE-2021-21985.

SOLUTION

• Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-011/