- Actualités
- >cybersécurité
VMware alerte sur une vulnérabilité critique non corrigée de Cloud Director
- par Kenan
- , Publié le 15 novembre 2023
- , à19 h 45 min
VMware met en garde contre une faille de sécurité critique et non corrigée dans Cloud Director qui pourrait être exploitée par un acteur malveillant pour contourner les protections d’authentification.
Répertoriée sous le nom de CVE-2023-34060 (score CVSS : 9.8), la vulnérabilité affecte les instances qui ont été mises à niveau vers la version 10.5 à partir d’une version plus ancienne.
« Sur une version mise à jour de VMware Cloud Director Appliance 10.5, un acteur malveillant disposant d’un accès réseau à l’appliance peut contourner les restrictions de connexion lors de l’authentification sur le port 22 (ssh) ou le port 5480 (console de gestion de l’appliance) », a déclaré l’entreprise dans une alerte.
« Ce contournement n’existe pas sur le port 443 (connexion du fournisseur VCD et du locataire). Sur une nouvelle installation de VMware Cloud Director Appliance 10.5, le contournement n’est pas présent. »
La société de services de virtualisation a également indiqué que l’impact est dû au fait qu’elle utilise une version de sssd du système d’exploitation Photon sous-jacent qui est affecté par CVE-2023-34060. C’est à Dustin Hartle, du fournisseur de solutions informatiques Ideal Integrations, que l’on doit la découverte et le signalement de ces failles. Bien que VMware n’ait pas encore publié de correctif pour le problème, elle a fourni une solution de contournement sous la forme d’un script shell (« WA_CVE-2023-34060.sh »). Elle a également souligné que la mise en œuvre de cette solution temporaire ne nécessitera pas de temps d’arrêt et n’aura pas d’effet secondaire sur la fonctionnalité des installations de Cloud Director. Ce développement intervient quelques semaines après que VMware a publié des correctifs pour une autre faille critique dans vCenter Server (CVE-2023-34048, CVSS score : 9.8) qui pourrait entraîner l’exécution de code à distance sur les systèmes affectés. Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.