Sélection de la langue

Recherche

Alerte - Vulnérabilité critique touchant les applications VMware

Numéro : AL22-006
Date : 19 mai 2022

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Sommaire

Le 18 mai 2022, VMware a publié un bulletin de sécurité visant à corriger des vulnérabilités liées à de multiples produits Note de bas de page 1. L’une de ces vulnérabilités, CVE-2022-22972, a été jugée critique et a reçu une cote CVSSv3 maximale de 9,8. Une analyse de source ouverte indique que des systèmes au Canada pourraient être touchés par ces vulnérabilités.

Détails

Le 18 mai 2022, VMware a publié un bulletin de sécurité visant à corriger deux vulnérabilités, soit CVE-2022-22972 et CVE-2022-22973, liées à de multiples produits Note de bas de page 1. L’une de ces vulnérabilités, CVE-2022-22972, a reçu une cote CVSSv3 de 9,8 et son exploitation pourrait mener à un accès administratif en contournant l’authentification. Le même jour, la Cybersecurity and Infrastructure Security Agency (CISA) a publié une directive d’urgence visant à sensibiliser les organismes fédéraux à des vulnérabilités VMware antérieures qui sont en train d’être exploitées activement (CVE-2022-22954 et CVE-2022-22960) et à les inviter à appliquer les correctifs nécessaires dès que possible pour ces quatre vulnérabilités Note de bas de page 2.

Les produits ci-dessous sont touchés :

  • VMware Cloud Foundation – plusieurs versions;
  • VMware Identity Manager – plusieurs versions;
  • VMware vRealize Automation – versions 7.6 et 8.x;
  • VMware vRealize Suite Lifecycle Manager – versions 8.x;
  • VMware Workspace ONE Access – plusieurs versions.

Après avoir observé la rapidité avec laquelle il était possible de faire de l’ingénierie inverse et de commencer à exploiter les vulnérabilités CVE-2022-22954 et CVE-2022-22960, la CISA a indiqué que les auteurs de menaces persistantes avancées (MPA) risquent fort probablement d’exploiter les vulnérabilités CVE-2022-22972 et CVE-2022-22973 dans un délai très court. La CISA précise qu’un auteur de menace qui exploiterait ces vulnérabilités pourrait déclencher une injection de modèle côté serveur, ce qui risquerait de causer l’exécution de code à distance (CVE-2022-22954), l’élévation des privilèges jusqu’au niveau racine (CVE-2022-22960 et CVE-2022-22973) et l’obtention d’un accès administratif sans devoir s’authentifier (CVE-2022-22972).

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organismes de suivre les instructions fournies par VMware Note de bas de page 3, notamment :

  • Mettre à niveau les instances de versions non prises en charge à une version plus récente et prise en charge avant d’appliquer le correctif. Ce correctif ne fonctionnera pas pour les versions non prises en charge.
  • Faire un instantané ou une sauvegarde de l’appliance ou des appliances et du serveur de base de données avant d’appliquer la procédure.
  • Télécharger et installer les correctifs fournis par VMware.
  • S’il est impossible d’appliquer immédiatement les correctifs, VMware a fourni une solution temporaire de contournement. Il convient toutefois de noter que l’application de la solution de contournement entraînera la perte de certaines fonctionnalités.

Par ailleurs, le Centre pour la cybersécurité recommande la déconnexion des systèmes accessibles sur Internet qui utilisent les produits touchés et auxquels les correctifs déployés en réponse aux bulletins de sécurité VMware VMSA-2022-0011.1 Note de bas de page 4 et VMSA-2022-0014 Note de bas de page 1 n’ont pas été appliqués, et ce, jusqu’à ce que les correctifs aient été installés et qu’une évaluation ait été réalisée afin de confirmer qu’aucune exploitation ne s’est produite.

Le 18 mai 2022, la CISA a publié l’alerte AA22-138B pour signaler des activités malveillantes ciblant des vulnérabilités VMware non corrigées qui pourraient mener à une prise de contrôle complet du système Note de bas de page 5. L’alerte fait état de diverses méthodes pour détecter les activités malveillantes et de recommandations quant à l’intervention en cas d’incident.

Les organismes qui détecteraient des activités semblables à celles décrites dans la présente alerte sont invités à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1833-CYBER-88 ou 1-833-292-3788).

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :