Pas de vacances pour les administrateurs systèmes qui sont appelés à appliquer en urgence le correctif proposé par VMware. Il vient corriger une faille connue sous la nomenclature CVE-2022-31656. Elle affecte plusieurs services du spécialiste de la virtualisation : Workspace One Access, Identity Manager et vRealize Automation. Le niveau de gravité de 9,8 sur 10 sur l’échelle CVSS de la faille est une raison supplémentaire pour colmater la brèche prestement. « Il est extrêmement important que vous preniez rapidement des mesures pour corriger ou atténuer ces problèmes dans les déploiements sur site », exhorte Bob Planker, Cloud Infrastructure Security & Compliance Architect chez VMware dans un blog.

Sur la vulnérabilité en elle-même, VMware précise, « une acteur malveillant ayant un accès réseau à l’UI (l’interface utilisateur) peut être en mesure d’obtenir un accès administratif sans avoir besoin de s’authentifier ». Il s’agit d’un bon moyen pour un contrôle de rang administrateur sur un système distant. La faille a été découverte par Petrus Viet de VNG Security. Elle ressemble à une autre vulnérabilité critique de contournement d’authentification (CVE-2022-22972), qui a obtenu le même score de gravité et corrigée en mai dernier. VMware se veut rassurant en précisant ne pas avoir eu à sa connaissance d’exploitation de la faille critique. Le chercheur à l’origine de la découverte a indiqué qu’il allait bientôt publier un PoC du bug.

D’autres failles dans le lot de correctifs

Il est à noter que Petrus Viet a également déniché d’autres brèches provoquant des exécutions de code à distance : les CVE-2022-31658 et CVE-2022-31659. En s’appuyant sur la faille CVE-2022-31656, un attaquant pourrait se connecter pour disposer des privilèges d’administration, puis exploiter les deux vulnérabilités RCE (remote code exécution) pour pirater le terminal. Les deux failles sont considérées comme importantes avec un score de gravité de 8,0. Elles affectent les mêmes produits VMware.

Dans le lot de correctifs pour ces différents services, VMware en profite pour patcher trois autres vulnérabilités entraînant des élévations de privilèges. Spencer McIntyre, chercheur en sécurité chez Rapid7, a signalé deux de ces failles (CVE-2022-31660 et CVE-2022-31661) à VMware, tandis que Steven Seeley, de l'institut de recherche sur les vulnérabilités Qihoo 360, a trouvé CVE-2022-31664.