Multiples vulnérabilités affectant les produits VMware

VMware Workstation et Fusion sont des hyperviseurs de type 2 qui exécutent de manière transparente des conteneurs, des machines virtuelles et des clusters Kubernetes. VMware ESXi est un hyperviseur permettant de virtualiser des serveurs. Il est installé directement sur le matériel du serveur physique et fournit une couche de virtualisation pour héberger plusieurs machines virtuelles. VMware vCenter Server est l’utilitaire de gestion centralisée pour VMware, utilisé pour gérer les machines virtuelles, plusieurs hôtes ESXi, et tous les composants dépendants à partir d’un seul emplacement centralisé.

Ces produits VMware présentes plusieurs vulnérabilités libellés comme suit :

  • CVE-2024-22273 : affectant VMware ESXi, Workstation et Fusion. Elle permettrait à un acteur malveillant de créer un déni de service, ou d’exécuter du code arbitraire sur l’hyperviseur depuis une machine virtuelle. Cette vulnérabilité est classée élevée, et son score de sévérité est de 8.1.
  • CVE-2024-22274 : affectant VMware vCenter Server. Elle permettrait à un acteur malveillant disposant de privilèges administrateurs sur le shell du dispositif vCenter Server, d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent. Cette vulnérabilité est classée élevée, et son score de sévérité est de 7.2.
  • CVE-2024-22275 : affectant VMware vCenter Server. Elle permettrait à un acteur malveillant disposant de privilèges administrateurs sur le shell du dispositif vCenter de lire arbitrairement des fichiers contenant des données sensibles. Cette vulnérabilité est classée faible, avec un score de sévérité de 4.9.

RISQUES DE SÉCURITÉ

  • Exécution de commandes 
  • Atteinte à la confidentialité des données
  • Atteinte à la disponibilité des données

SYSTÈMES AFFECTÉS 

  • VMware vCenter Server 7.0
  • VMware vCenter Server 8.0
  • VMware ESXi 8.0
  • VMware ESXi 7.0
  • VMware Workstation 17.x
  • VMware Fusion 13.x

MESURES À PRENDRE

  • Appliquer les mises à jour disponibles sur le site de l’éditeur.


Source : bjCSIRT