critical vulnerability discovered in VMware ESXi

Une Vulnerabilite Critique dans ESXI

Salut les techos, on parles aujourd'hui de la vulnerabilite decouvert dans ESXI  "CVE-2024-37085 "

VMware ESXi contient une vulnérabilité de contournement d'authentification. Un acteur malveillant disposant d'autorisations Active Directory (AD) suffisantes peut obtenir un accès complet à un hôte ESXi précédemment configuré pour utiliser AD pour la gestion des utilisateurs https://blogs.vmware.com/vsphere/2012/09/joining-vsphere-hosts -to-active-directory.html en recréant le groupe AD configuré (« Administrateurs ESXi » par défaut) après sa suppression d'AD.

Qu'est-ce que CVE-2024-37085 ?

CVE-2024-37085 est une vulnérabilité critique découverte dans VMware ESXi, Cette faille exploitait un défaut de gestion des privilèges au sein du groupe Active Directory "ESX Admins". En substance, tout utilisateur faisant partie de ce groupe pouvait obtenir des privilèges administratifs complets sur les serveurs ESXi associés à ce domaine Active Directory, sans vérification supplémentaire.

il est important de connaitre que le groupe ESX Admins est un élément central dans la gestion des serveurs VMware ESXi lorsqu'ils sont intégrés à un domaine Active Directory.

  • Rôle privilégié : Les membres de ce groupe disposent de droits administratifs complets sur les serveurs ESXi associés au domaine. Cela signifie qu'ils peuvent effectuer toutes les opérations possibles, de la configuration du système à la gestion des machines virtuelles.
  • Configuration par défaut : Ce groupe est créé par défaut lors de la configuration de l'intégration Active Directory sur un serveur ESXi.
  • Vulnérabilité CVE-2024-37085 : Récemment, une vulnérabilité (CVE-2024-37085) a été découverte, exploitant une faille dans la gestion de ce groupe. Des attaquants pouvaient, sous certaines conditions, usurper l'identité d'un membre de ce groupe pour obtenir des privilèges élevés sur les serveurs ESXi.

ESX Admins est un groupe puissant mais qui nécessite une gestion rigoureuse pour garantir la sécurité d' infrastructure VMware. Il est crucial de limiter strictement l'accès à ce groupe et de suivre les recommandations de sécurité de VMware, notamment en appliquant les correctifs de sécurité dès leur publication.

Pourquoi cette vulnérabilité est-elle si grave ?

  • Privilèges élevés : L'obtention de privilèges administratifs permet à un attaquant d'exécuter du code arbitraire, de modifier des configurations, de chiffrer des données ou même de prendre le contrôle complet du système.
  • Exploitation active : Cette vulnérabilité a été activement exploitée par des acteurs de menaces, notamment des groupes de ransomware, pour chiffrer les données des victimes et exiger une rançon.
  • Impact sur les entreprises : Les entreprises utilisant VMware ESXi et Active Directory se sont retrouvées particulièrement exposées, avec des conséquences potentiellement désastreuses sur leurs opérations.

    • Quelles sont les mesures prises pour y remédier ?

    • Correctif officiel : VMware a rapidement publié un correctif pour résoudre cette vulnérabilité. Il est fortement recommandé de mettre à jour vos systèmes ESXi dès que possible.
    • Mesures de sécurité supplémentaires : Outre le correctif, il est important de mettre en œuvre des mesures de sécurité complémentaires, telles que :
      • Révision des droits d'accès : Limiter les membres du groupe "ESX Admins" au strict minimum nécessaire.
      • Segmentation du réseau : Isoler les environnements ESXi du reste du réseau.
      • Surveillance accrue : Mettre en place une surveillance renforcée des systèmes ESXi pour détecter toute activité suspecte.


vmware

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Analyse technique du VLAN Hopping : Switch Spoofing et Double Tagging

Image
Connaissez-vous cette menace qui pèse sur votre réseau ? Les réseaux locaux virtuels (VLAN) sont une technologie essentielle pour segmenter les réseaux et améliorer la sécurité. Cependant, une faille de sécurité connue sous le nom de VLAN hopping peut compromettre cette segmentation. Cette attaque permet à un attaquant situé dans un VLAN d'accéder à des ressources et des informations appartenant à d'autres VLAN, potentiellement critiques. Cet article examine les vulnérabilités qui rendent possible le VLAN hopping et propose des solutions pour renforcer la sécurité des réseaux. Imaginez un immeuble avec plusieurs appartements (les VLAN). Normalement, les habitants d'un appartement ne peuvent pas accéder aux autres. Le VLAN Hopping est comme un cambrioleur qui trouve un moyen de passer d'un appartement à l'autre sans autorisation. Le VLAN Hopping, ou "saut de VLAN" en français, est une technique d'attaque informatique qui permet à un attaquant d'accé...
Lire la suite

DNS Spoofing : Tout Ce Que Vous Devez Savoir

Image
Intro Le DNS spoofing, ou usurpation de DNS, est une technique de cyberattaque de plus en plus courante et redoutable. En exploitant les failles du système de noms de domaine (DNS), les cybercriminels peuvent rediriger les utilisateurs vers des sites malveillants sans qu’ils s’en rendent compte. Cela se fait en manipulant les requêtes de résolution de noms de domaine, ce qui permet aux attaquants de rediriger les victimes vers des serveurs compromis . Les conséquences peuvent être graves : vol de données personnelles, compromission de la sécurité en ligne et atteinte à la confidentialité des utilisateurs. Dans cet article, nous allons explorer en détail ce qu’est le DNS spoofing, les différentes méthodes utilisées par les attaquants, les risques pour les entreprises et les particuliers, et surtout, les meilleures pratiques pour se protéger contre cette menace insidieuse.  Méthodes utilisées pour faire la compromission d'une infra avec DNSSPOOFING Pour comprendre comment le DNS spo...
Lire la suite

InverseHacker: Votre boîte à outils ultime pour les tests de pénétration

Image
Inversehacker Fatigué de passer des heures à chercher des vulnérabilités dans des applications web complexes, j'ai décidé de créer un outil qui simplifierait cette tâche. InverseHacker est né de cette frustration. En automatisant de nombreuses tâches récurrentes et en fournissant un environnement de travail intuitif, InverseHacker permet aux chercheurs en sécurité de gagner un temps précieux et de se concentrer sur les aspects les plus créatifs de leur travail. Grâce à InverseHacker, nous pouvons renforcer la sécurité numérique et protéger les entreprises contre les cyberattaques Un toolkit bugbounty concis pour le hackeur Le bug bounty est une pratique qui consiste à rémunérer des personnes pour la découverte et la divulgation de vulnérabilités de sécurité dans des logiciels ou des services. Le pentest, ou test d'intrusion, est une activité similaire qui consiste à tester la sécurité d'un système informatique ou d'un réseau. Pour mener à bien ces activités, les pentest...
Lire la suite