CERTFR-2021-ALE-003
Vulnerability from certfr_alerte

[version du 26 février 2021]

Le CERT-FR a connaissance d'attaques en cours ciblant des serveurs vCenter exposés sur Internet. Il est urgent de procéder soit à l'application du contournement pour désactiver le greffon vulnérable soit de déployer les versions corrigeant la vulnérabilité.

[version initiale]

Le 23 février 2021, VMware a publié un avis de sécurité concernant trois vulnérabilités (cf. section documentation). La vulnérabilité CVE-2021-21972 est la plus critique. Elle permet une exécution de code arbitraire à distance par un attaquant non authentifié.

Cette vulnérabilité affecte un greffon de vCenter Server permettant la communication entre vCenter Server et la solution VMware vRealize Operations (vROPs). Ce greffon vulnérable est présent dans toutes les installations par défaut de vCenter. VMware précise que l'exploitation de la vulnérabilité est possible même si la solution vRealize Operations n'est pas utilisée.

Des preuves de concept sont disponibles publiquement et le CERT-FR a connaissance de campagnes de détection de la vulnérabilité CVE-2021-21972, il est donc urgent d'appliquer le correctif de sécurité.

De plus, le CERT-FR a constaté la présence d'instances de vCenter directement accessibles sur internet. Ceci est contraire aux bonnes pratiques.

Pour rappel, ce type de services ne doit jamais être exposé sur internet. Lorsque cela se révèle absolument nécessaire, il est fortement recommandé de recourir à des solutions d'accès sécurisés à distance.

Ainsi, de manière générale, que ce soit sur le réseau interne ou à distance, des bonnes pratiques d'hygiène informatique et de sécurité en profondeur doivent être appliquées, comme recommandé dans les guides suivants :

Contournement provisoire

Le CERT-FR recommande l'application du correctif de sécurité. Toutefois, dans les cas où cela n'est pas possible, VMware a publié des mesures de contournement provisoires:

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Impacted products
Vendor Product Description
VMware vCenter Server Cloud Foundation (vCenter Server) versions 4.x antérieures à 4.2
VMware vCenter Server vCenter Server versions 6.5 antérieures à 6.5 U3n
VMware vCenter Server Cloud Foundation (vCenter Server) versions 3.x antérieures à 3.10.1.2
VMware vCenter Server vCenter Server versions 7.0 antérieures à 7.0 U1c
VMware vCenter Server vCenter Server versions 6.7 antérieures à 6.7 U3l
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Cloud Foundation (vCenter Server) versions 4.x ant\u00e9rieures \u00e0 4.2",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "vCenter Server versions 6.5 ant\u00e9rieures \u00e0 6.5 U3n",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "Cloud Foundation (vCenter Server) versions 3.x ant\u00e9rieures \u00e0 3.10.1.2",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "vCenter Server versions 7.0 ant\u00e9rieures \u00e0 7.0 U1c",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "vCenter Server versions 6.7 ant\u00e9rieures \u00e0 6.7 U3l",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2021-05-12",
  "content": "## Contournement provisoire\n\nLe CERT-FR recommande l\u0027application du correctif de s\u00e9curit\u00e9. Toutefois,\ndans les cas o\u00f9 cela n\u0027est pas possible, VMware a publi\u00e9 des mesures de\ncontournement provisoires:\n\n-   \u003chttps://kb.vmware.com/s/article/82374\u003e\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d\u0027un produit ou d\u0027un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd\u0027effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u0027application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n",
  "cves": [
    {
      "name": "CVE-2021-21972",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-21972"
    }
  ],
  "initial_release_date": "2021-02-25T00:00:00",
  "last_revision_date": "2021-05-12T00:00:00",
  "links": [],
  "reference": "CERTFR-2021-ALE-003",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2021-02-25T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour suite \u00e0 la d\u00e9couverte d\u0027attaques en cours",
      "revision_date": "2021-02-26T00:00:00.000000"
    },
    {
      "description": "clarification des versions affect\u00e9es",
      "revision_date": "2021-03-01T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2021-05-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[version du 26 f\u00e9vrier 2021\\]\u003c/strong\u003e\n\nLe CERT-FR a connaissance d\u0027\u003cstrong\u003eattaques en cours\u003c/strong\u003e ciblant des serveurs\nvCenter expos\u00e9s sur Internet. \u003cstrong\u003eIl est urgent\u003c/strong\u003e de proc\u00e9der soit \u00e0\nl\u0027application du contournement pour d\u00e9sactiver le greffon vuln\u00e9rable\nsoit de d\u00e9ployer les versions corrigeant la vuln\u00e9rabilit\u00e9.\n\n\u003cstrong\u003e\\[version initiale\\]\u003c/strong\u003e\n\nLe 23 f\u00e9vrier 2021, VMware a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant trois\nvuln\u00e9rabilit\u00e9s (cf. section documentation). La\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-21972 est la plus critique. Elle permet une\nex\u00e9cution de code arbitraire \u00e0 distance par un attaquant non\nauthentifi\u00e9.\n\nCette vuln\u00e9rabilit\u00e9 affecte un greffon de vCenter Server permettant la\ncommunication entre vCenter Server et la solution\nVMware\u00a0vRealize\u00a0Operations (vROPs). Ce greffon vuln\u00e9rable est pr\u00e9sent\ndans toutes les installations par d\u00e9faut de\u00a0vCenter. VMware pr\u00e9cise que\nl\u0027exploitation de la vuln\u00e9rabilit\u00e9 est possible m\u00eame si la solution\nvRealize Operations n\u0027est pas utilis\u00e9e.\n\nDes preuves de concept sont disponibles publiquement et le CERT-FR a\nconnaissance\u00a0de campagnes de d\u00e9tection de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-21972, il est donc urgent d\u0027appliquer le\ncorrectif de s\u00e9curit\u00e9.\n\nDe plus, le CERT-FR a constat\u00e9 la pr\u00e9sence d\u0027instances de vCenter\ndirectement accessibles sur internet. Ceci est contraire aux bonnes\npratiques.\n\nPour rappel, ce type de services ne doit jamais \u00eatre expos\u00e9 sur\ninternet. Lorsque cela se r\u00e9v\u00e8le absolument n\u00e9cessaire, il est fortement\nrecommand\u00e9 de recourir \u00e0 des solutions d\u0027acc\u00e8s s\u00e9curis\u00e9s \u00e0 distance.\n\nAinsi, de mani\u00e8re g\u00e9n\u00e9rale, que ce soit sur le r\u00e9seau interne ou \u00e0\ndistance, des bonnes pratiques d\u0027hygi\u00e8ne informatique et de s\u00e9curit\u00e9 en\nprofondeur doivent \u00eatre appliqu\u00e9es, comme recommand\u00e9 dans les guides\nsuivants :\n\n-   \u003chttps://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/\u003e\n-   \u003chttps://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/\u003e\n-   \u003chttps://www.ssi.gouv.fr/uploads/2020/06/anssi-guide-passerelle_internet_securisee-v3.pdf\u003e\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans VMware vCenter Server",
  "vendor_advisories": [
    {
      "published_at": "2021-02-24",
      "title": "Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-145 du 24 f\u00e9vrier 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-145/"
    },
    {
      "published_at": "2021-02-12",
      "title": "Bulletin de s\u00e9curit\u00e9 VMware VMSA-2021-0002",
      "url": "https://www.vmware.com/security/advisories/VMSA-2021-0002.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.