Les organisations proposant des comptes d’essai pour les versions de VMware Cloud Director inférieures à 10.1.0 risquent d’exposer les clouds privés de leur infrastructure virtualisée à des attaques de prise de contrôle complètes d’un acteur menaçant.

Une vulnérabilité d’injection de code existe dans VMware Cloud Director (vCloud Director) 10.0.0.2, 9.7.0.5, 9.5.0.6 et 9.1.0.4 qui peut conduire à l’exécution de code à distance, indique VMware dans son avis de sécurité.

Le logiciel Cloud Director permet aux fournisseurs de services cloud du monde entier de déployer, d’automatiser et de gérer les ressources d’infrastructure virtuelle dans un environnement cloud.

Tous les prestataires ne sont pas concernés

Suivi comme CVE-2020-3956, la faille de sécurité a été découverte par Tomas Melicher et Lukas Vaclavik, testeurs de pénétration chez Citadelo, lors de l’audit de l’infrastructure cloud d’une entreprise utilisant VMware Cloud Director pour gérer les centres de données virtuels pour les clients.

Les auditeurs ont constaté qu’un attaquant authentifié pouvait utiliser les interfaces utilisateur HTML et Flex ou les appels d’API du produit pour envoyer du trafic malveillant vers le système. Cela pourrait les mettre «en contrôle des clouds privés au sein d’une infrastructure entière».

L’authentification ne serait cependant pas un obstacle. Les chercheurs affirment que les attaquants pourraient choisir parmi les fournisseurs de cloud qui offrent un accès d’essai gratuit à la plate-forme.

S’appuyant sur CVE-2020-3956, ils ont pu afficher les informations sensibles appartenant aux clients sur l’infrastructure ainsi que faire passer leurs privilèges à ceux d’un administrateur système ayant accès à tous les environnements cloud. Voici une liste d’actions possibles:

• Affichez le contenu de la base de données système interne, y compris les hachages de mot de passe de tous les clients affectés à cette infrastructure.
• Modifiez la base de données système pour voler des machines virtuelles (VM) étrangères affectées à différentes organisations dans Cloud Director.
• Faites passer les privilèges de «Administrateur d’organisation» (normalement un compte client) à «Administrateur système» avec …