Actu
Actualités des menaces : tentatives d’exploitation de nouvelles vulnérabilités dans des produits VMware
juin 2022 par Barracuda Networks
En analysant les attaques et les charges utiles détectées par leurs systèmes entre avril et mai, les chercheurs de Barracuda ont constaté un flux constant de tentatives d’exploitation de deux vulnérabilités VMware récemment découvertes : CVE-2022-22954 et CVE-2022-22960.
Examinons de plus près l’une de ces vulnérabilités (CVE-2022-22954), les récents schémas d’attaque et les solutions disponibles pour s’en prémunir.
Nouvelles vulnérabilités VMware — Le 6 avril, VMware a publié un avis de sécurité répertoriant plusieurs vulnérabilités de sécurité. L’une des vulnérabilités les plus graves de cet avis est un problème d’injection de modèle côté serveur, dénommé CVE-2022-22954. Cette vulnérabilité a pour effet de permettre à un utilisateur non authentifié ayant accès à l’interface web d’exécuter n’importe quelle commande shell arbitraire en tant qu’utilisateur VMware. La liste des vulnérabilités inclut également CVE-2022-22960, une vulnérabilité d’élévation locale des privilèges dans les produits affectés, que des attaquants pourraient enchaîner.
VMware a confirmé que l’exploitation de ces vulnérabilités était déjà en cours. CVE-2022-22954 a un score CVSS de 9,8, tandis que CVE-2022-22960 a un score CVSS de 7,8.
Les chercheurs de Barracuda ont commencé à observer des sondes et des tentatives d’exploitation de cette vulnérabilité peu après la publication de l’avis et la diffusion initiale de la preuve de concept sur GitHub. Les attaques ont été constantes dans le temps, à l’exception de quelques pics, et la grande majorité d’entre elles s’apparentent à des sondes plutôt qu’à de véritables tentatives d’exploitation.
La grande majorité des attaques provenaient géographiquement des États-Unis, la plupart d’entre elles émanant de centres de données et de fournisseurs de cloud. Si les pics proviennent en grande partie de ces plages d’adresses IP, on observe également des tentatives de fond constantes de la part d’adresses IP connues comme malveillantes en Russie. Certaines de ces adresses IP lancent des recherches de vulnérabilités spécifiques à intervalles réguliers, et il semble que les vulnérabilités VMware aient été ajoutées à leur liste habituelle de sondes Laravel/Drupal/PHP.
Code de pays des IP : par ordre décroissant Pourcentage
États-Unis 76 %
Royaume-Uni 6 %
Russie 6 %
Australie 5 %
Inde 2 %
Danemark 1 %
France 1 %
Comment se protéger contre ces types d’attaques
Comme indiqué précédemment, les niveaux d’intérêt envers ces vulnérabilités se sont stabilisés. Néanmoins, on observera probablement des analyses de bas niveau et des tentatives d’exploitation pendant un certain temps encore. Même si les analyses et les exploitations restent stables, il est important de prendre des mesures pour protéger vos systèmes.
• Application de correctifs : c’est maintenant le moment idéal pour appliquer les mises à jour correctives, surtout si le système est connecté à internet d’une façon ou d’une autre.
• Pare-feu d’applications web : placez un pare-feu d’applications web devant de tels systèmes pour renforcer la défense approfondie contre les attaques non répertoriées et d’autres vulnérabilités, dont Log4Shell.
