www.belgium.be Logo of the federal government

Avertissement : Vulnérabilités de VMware activement exploitées

Référence: 
Advisory #2020-035
Version: 
1.0
Logiciels concernés : 
VMware EXSi pour les versions 7.0, 6.7, 6.5, 6.0 et antérieures.
VMware Horizon DaaS pour la version 8.0 et antérieures.
VMware Cloud Foundation (EXSi) pour les versions 4.0, 3.0 et antérieures.
Type: 
Exécution de code arbitraire à distance (RCE)
CVE/CVSS: 

CVE-2020-3992 - CVSS.V3 - 9.8
CVE-2019-5544 - CVSS.V3 - 9.8

Sources

https://www.zerodayinitiative.com/advisories/ZDI-20-1269/
https://www.vmware.com/security/advisories/VMSA-2020-0023.html
www.vmware.com/security/advisories/VMSA-2019-0022.html

Risques

Ces vulnérabilités pourraient permettre à des acteur malveillants d'exécuter du code arbitraire à distance sur les systèmes où VMware ESXi est installé. Aucun type d'authentification préalable n'est nécessaire à l'exploitation de ces vulnérabilités.

Description

Les vulnérabilités pourraient être exploitées par des acteurs malveillants pour compromettre les systèmes exécutant VMware ESXi et exécuter du code arbitraire à distance sur ceux-ci. Aucun niveau d'authentification préalable n'est requis.

La faille se trouve de façon plus spécifique dans le traitement des messages SLP. Le problème résulte de l'absence de validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un acteur malveillant peut alors exploiter cette faille pour exécuter du code dans le contexte du démon SLP.

Actions recommandées

Le CERT.be recommande aux administrateurs système d'installer les dernières mises à jour publiées par le fournisseur pour les versions concernées : https://www.vmware.com/security/advisories/VMSA-2020-0023.html & www.vmware.com/security/advisories/VMSA-2019-0022.html.

Références

https://attackerkb.com/topics/a5SgSHJ1Mx/cve-2020-3992-esxi-openslp-remo...
https://attackerkb.com/topics/nhZc3oqvzj/cve-2019-5544-esxi-openslp-remo...