Sélection de la langue

Alerte - Exploitation active d’une vulnérabilité liée à VMware

Numéro : AL20-027
Date : 7 décembre 2020

AUDITOIRE

La présente alerte est destinée aux professionnels des TI et aux gestionnaires des organismes avisés.

OBJET

Une alerte a pour objet de prévenir les destinataires de cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. L’alerte vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.

ÉVALUATION

Le 7 décembre, le Centre pour la cybersécurité a été informé de l’exploitation active d’une vulnérabilité liée à l’injection de commandes dans VMware (CVE-2020-4006) au moyen de justificatifs d’identité volés [1], souvent utilisés pour exploiter des systèmes [2]. Un auteur malveillant disposant d’un accès réseau au configurateur administratif sur le port 8443 et d’un mot de passe valide pour le compte d’administrateur du configurateur pourrait exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent [3]. Les produits touchés par cette vulnérabilité incluent VMware Workspace One Access, Access Connector, Identity Manager et Identity Manager Connector.

MESURES RECOMMANDÉES

Le Centre pour la cybersécurité recommande de prendre les mesures suivantes pour détecter les activités potentiellement malveillantes ciblant les systèmes vulnérables :

  • Surveiller toute connexion inhabituelle au configurateur administratif sur le port 8443;
  • Examiner les journaux système pour détecter toute activité inhabituelle ou non autorisée;
  • Vérifier si des utilisateurs détenant des privilèges élevés ont été ajoutés récemment.

ATTÉNUATION

Le Centre pour la cybersécurité recommande aux organisations de suivre les recommandations en matière d’atténuation et d’application de correctifs pour les produits touchés :

  • Appliquer les correctifs recommandés aux produits touchés [4];
  • Veiller à ce que le configurateur administratif ne soit pas accessible aux interfaces externes;
  • Activer l’authentification à deux facteurs [5];
  • Mettre en œuvre des solutions de contournement liées à la vulnérabilité CVE-2020-4006 [6] de manière provisoire, jusqu’à ce que l’application des correctifs soit terminée.

Les organisations qui détecteraient des activités semblables à celles décrites dans la présente alerte sont invitées à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).

DOCUMENTS DE RÉFÉRENCE

[1] Russian State-Sponsored Malicious Cyber Actors Exploit Known Vulnerability in Virtual Workspaces

https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195076_20.PDF (en anglais)

[2] Des organismes canadiens exploités en raison d’authentifications inadéquates et de dispositifs vulnérables

https://cyber.gc.ca/fr/avis/des-organismes-canadiens-exploites-en-raison-dauthentifications-inadequates-et-de-0

[3] VMware Advisory ID: VMSA-2020-0027.2

https://www.VMware.com/security/advisories/VMSA-2020-0027.html (en anglais)

[4] HW-128524: CVE-2020-4006 Patches for Workspace ONE Access, Identity Manager and Connector (81754)

https://kb.VMware.com/s/article/81754  (en anglais)

[5] VMware Workspace ONE Access : Configuration de VMware Verify pour l’authentification à deux facteurs

https://docs.vmware.com/fr/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-FE8A5B1C-BC17-4A5C-BC8D-614C5EE4057A.html

[6] VMware Workspace ONE Access, VMware Identity Manager, VMware Identity Manager Connector Workaround Instructions for CVE-2020-4006 (81731)

https://kb.VMware.com/s/article/81731 (en anglais)

[7] Bulletin de sécurité VMware

https://cyber.gc.ca/fr/avis/bulletin-de-securite-vmware-28


NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Agissant à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique au Canada, le personnel du Centre pour la cybersécurité travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour élaborer et appliquer des moyens d’intervention, d’atténuation et de reprise en cas d’incidents de cybersécurité. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et resilient.


Coordonnées du Centre pour la cybersécurité :

Courriel : contact@cyber.gc.ca

Numéro sans frais : 1-833-CYBER-88 (1-833-292-3788)

Date de modification :