VMware a corrigé une vulnérabilité critique de l’appliance VMware Carbon Black Cloud Workload qui pourrait permettre aux attaquants de contourner l’authentification après avoir exploité des serveurs vulnérables.

VMware Carbon Black Cloud Workload est un logiciel de sécurité de centre de données Linux conçu pour protéger les charges de travail s’exécutant dans des environnements virtualisés.

Il regroupe également des fonctionnalités de protection des points de terminaison, y compris la détection et la réponse des points de terminaison (EDR), un antivirus de nouvelle génération et la recherche de menaces en temps réel.

Cette vulnérabilité de sécurité a un impact sur l’appliance VMware Carbon Black Cloud Workload version 1.0.1 et antérieure.

Interface d’administration exploitable pour le contournement d’authentification

Les attaquants peuvent exploiter la vulnérabilité de sécurité suivie comme CVE-2021-21982 en manipulant une URL d’interface administrative pour obtenir des jetons d’authentification valides.

À l’aide de ce jeton d’authentification, l’acteur malveillant peut ensuite accéder à l’API d’administration des appliances VMware Carbon Black Cloud Workload non corrigées.

L’exploitation réussie de la faille de sécurité permet à l’attaquant d’afficher et de modifier les paramètres de configuration administrative.

CVE-2021-21982 peut être exploité par des attaquants à distance sans nécessiter d’authentification ou d’interaction de l’utilisateur dans des attaques de faible complexité.

VMware a évalué le bogue de sécurité comme étant de gravité critique, en lui attribuant un score de base CVSSv3 de 9,1 / 10.

La vulnérabilité a été découverte et signalée en privé à VMware par le chercheur en sécurité Web de Positive Technologies, Egor Dimitrenko.

Atténuation également disponible

VMware a également publié des informations d’atténuation pour les administrateurs qui ne peuvent pas immédiatement corriger leurs appliances VMware Carbon Black Cloud Workload.

La suppression de l’accès à distance à l’interface d’administration locale de l’appliance suffit à supprimer le vecteur d’attaque comme le conseille l’entreprise.

«Les meilleures pratiques de VMware recommandent de mettre en œuvre des contrôles réseau pour limiter l’accès à l’interface administrative locale de l’appliance», a déclaré la société.

« Réseau illimité …