VMware vient de livrer un correctif pour une vulnérabilité hautement critique trouvée dans Directory Service (vmdir), le service d’annuaire livré avec le logiciel de gestion de serveurs vCenter Server qui centralise le contrôle des environnements vSphere. Avec une note CVSSv3 de 10, la plus élevée sur le système d’évaluation de criticité, la faille CVE-2020-3952 porte sur la mise en oeuvre des contrôles d’accès qui, dans certaines conditions, ne se fait pas correctement dans vmdir fourni avec vCenter dans le cadre d’une instance Platform Services Controller intégrée ou externe. Seule la version 6.7 de vCenter Server est concernée, les versions 7 et 6.5 ne le sont pas.

Un attaquant qui exploiterait cette vulnérabilité pourrait obtenir un accès réseau à un déploiement vmdir et parvenir à extraire des informations sensibles qui pourraient alors être utilisées pour compromettre vCenter Server ou d’autres services dépendants de vmdir pour l’authentification. Il n’y a pas de contournement possible de la faille. Celle-ci a été signalée le 9 avril à VMware, ce dernier ayant depuis livré des mises à jour de vCenter pour la corriger. Les versions rectifiées de vCenter 6.7 portent le numéro 6.7u3f.

Dans sa base de connaissances, l’éditeur de vSphere a publié un document expliquant comment déterminer si un déploiement vCenter 6.7 est concerné par cette faille. Cela peut être le cas si le logiciel (fonctionnant sur Windows ou sous forme d’application virtuelle) a été mis à jour vers 6.7 à partir d’une précédente version comme 6.0 ou 6.5. A l'inverse, les installations « propres » de vCenter Server 6.7 (dans le cadre d'une instance PSC intégrée ou externe) ne sont pas touchées, explique VMware dans son bulletin de sécurité.