Selon un chercheur impliqué dans la découverte des bogues de sécurité, quelques vulnérabilités graves corrigées récemment par VMware dans son produit vRealize Operations (vROps) peuvent présenter un risque important pour les organisations.

Le produit de gestion des opérations informatiques vROps, en particulier l’API vRealize Operations Manager, est affecté par une vulnérabilité de falsification de demande côté serveur (SSRF) suivie comme CVE-2021-21975, et un problème d’écriture de fichier arbitraire suivi comme CVE-2021-21983.

Selon VMware, la faille SSRF peut permettre à un attaquant disposant d’un accès réseau à l’API d’obtenir des informations d’identification administratives. La deuxième vulnérabilité permet à un attaquant authentifié d’écrire des fichiers à des emplacements arbitraires sur le système d’exploitation Photon sous-jacent.

VMware a crédité Egor Dimitrenko, chercheur au sein de la société de cybersécurité Positive Technologies, pour avoir découvert les vulnérabilités. Dimitrenko a dit SecurityWeek qu’un attaquant peut enchaîner les vulnérabilités pour exécuter à distance du code arbitraire sur un serveur.

L’expert a averti que dans une attaque dans le monde réel, les vulnérabilités peuvent donner aux acteurs de la menace «des opportunités illimitées de mener de nouvelles attaques sur l’infrastructure d’une entreprise».

VMware a corrigé les vulnérabilités dans toutes les versions concernées de vRealize Operation Manager, ainsi que dans Cloud Foundation et vRealize Suite Lifecycle Manager. Sur la base de leur score CVSS, les vulnérabilités doivent avoir une cote de gravité «élevée», mais l’avis du géant de la virtualisation les classe comme «critiques».

Il est important que les organisations utilisant des vROps corrigent ces vulnérabilités dès que possible, car elles pourraient finir par être exploitées à des fins malveillantes.

En février, des pirates ont commencé à rechercher sur Internet des serveurs VMware vCenter affectés par une vulnérabilité critique également découverte par des chercheurs de Positive Technologies. L’analyse a commencé juste un jour après que VMware a annoncé le …