Les entreprises utilisant les produits vSphere Data Protection de VMware ont intérêt à agir vite. Le spécialiste en virtualisation a en effet identifié trois vulnérabilités affectant les versions 5.x, 6.x et 6.1.x de ses produits de sauvegarde et de restauration de données. Parmi elles, deux sont classées comme importes et une critique. Cette dernière, identifiée en tant que CVE-2017-15548, permet à un attaquant de contourner les protections d'authentification et prendre le contrôle du serveur sur lequel la solution est installée.

La deuxième, CVE-2017-15549, peut permettre de télécharger des fichiers arbitraires sur un système affecté grâce à un utilisateur distant disposant de privilèges de bas niveau. Enfin, la troisième, CVE-2017-15550, permet également à un attaquant distant d'exploiter cette faille pour accéder à des fichiers sur un système affecté. Le bulletin de sécurité VDP mis en ligne par VMware est accessible à cette adresse. Ce n'est pas la première fois que les solutions vSphere Data Protection de l'éditeur sont touchées par des failles. En décembre 2016, une faille critique permettant de modifier une clé SSH codée en dur permettant un accès racine à l'appliance virtuelle illégitime à distance avait ainsi déjà été comblée.