La société de technologie de cloud computing et de virtualisation VMWare a déployé jeudi une mise à jour pour résoudre une faille de sécurité critique dans son produit Cloud Director qui pourrait être armée pour lancer des attaques d’exécution de code à distance.
Le problème, auquel est attribué l’identifiant CVE-2022-22966a un score CVSS de 9,1 sur un maximum de 10. VMware a crédité le chercheur en sécurité Jari Jääskelä d’avoir signalé la faille.
“Un acteur malveillant authentifié et hautement privilégié avec un accès réseau au locataire ou au fournisseur de VMware Cloud Director peut être en mesure d’exploiter une vulnérabilité d’exécution de code à distance pour accéder au serveur”, explique VMware. mentionné dans un avis.
En tant que principale plate-forme de gestion d’infrastructure cloud, VMware Cloud Director (anciennement vCloud Director) est utilisé par de nombreux fournisseurs de cloud bien connus pour exploiter et gérer leurs infrastructures cloud. Un demi-million de clients VMware utilisent le logiciel pour exécuter l’infrastructure numérique complexe du monde.
En d’autres termes, la vulnérabilité pourrait finir par permettre aux attaquants d’accéder à des données sensibles et de prendre le contrôle de clouds privés au sein d’une infrastructure entière.
Les versions concernées incluent 10.1.x, 10.2.x et 10.3.x, avec des correctifs disponibles dans les versions 10.1.4.1, 10.2.2.3 et 10.3.3. La société a également publié solutions de contournement qui peut être suivie lorsque la mise à niveau vers une version recommandée n’est pas une option.
Les correctifs arrivent un jour après que des exploits pour une autre faille critique récemment corrigée dans VMware Workspace ONE Access ont été détectés dans la nature.
La faille (CVE-2022-22954) concerne une vulnérabilité d’exécution de code à distance qui découle de l’injection de modèle côté serveur dans VMware Workspace ONE Access et Identity Manager.
Les produits VMware devenant souvent une cible lucrative pour les acteurs de la menace, la mise à jour ajoute à l’urgence pour les entreprises d’appliquer les mesures d’atténuation nécessaires pour prévenir les menaces potentielles.