Première mondiale : une faille critique exploitée dans l’hyperviseur VMware ESXi lors d’un concours de hacking
Lors du concours de hacking Pwn2Own organisé en mars à Berlin, un événement exceptionnel a marqué l’histoire de la cybersécurité : des hackers ont réussi à exploiter avec succès l’hyperviseur VMware ESXi. Cette percée reste inédite depuis le lancement de ce concours en 2007, soulignant la complexité et la robustesse généralement associées à ce type de plateforme.
Des attaques inédites sur VMware ESXi
Le 16 mars, Nguyen Hoang Thach, chercheur en sécurité chez Star Labs, a démontré la première exploitation réussie de VMware ESXi dans le cadre du concours. Cette avancée a été confirmée par l’équipe sécurité de Broadcom, propriétaire de VMware, qui a souligné la singularité de l’événement. L’attaque tirait parti d’une vulnérabilité liée à un dépassement d’entier, une faille classique mais puissante.
Le lendemain, le 17 mars, deux autres attaques ont été réussies : Corentin Bayet, CTO de Reverse Tactics, a exploité ESXi en combinant deux vulnérabilités, dont l’une était connue, tandis que Thomas Bouzerar et Etienne Helluy-Lafont, experts de Synacktiv, ont ciblé avec succès la workstation VMware.
Les réponses et perspectives de Broadcom
Les responsables sécurité de Broadcom, Praveen Singh et Monty Ijzerman, ont indiqué que des correctifs étaient en développement et qu’un avis de sécurité VMware serait publié afin d’orienter les utilisateurs vers les mises à jour nécessaires. Cette démarche est cruciale pour limiter les risques potentiels suite à ces failles.
Cependant, la stratégie commerciale actuelle de Broadcom, qui pousse les clients vers des abonnements VMware Cloud Foundation, soulève des inquiétudes. En effet, les clients utilisant des licences perpétuelles pourraient se retrouver sans accès aux patchs de sécurité, une situation dangereuse notamment pour ceux dont le contrat de support arrive à expiration.
Une vulnérabilité supplémentaire : VMware Aria Automation
Par ailleurs, le 12 mai, Broadcom a émis un avis critique concernant une faille dans l’outil Aria Automation. Cette faille, exigent une interaction utilisateur, pourrait se matérialiser via une attaque de phishing ciblant un administrateur VMware. Si le lien malveillant est cliqué, un attaquant pourrait alors prendre le contrôle complet du compte visé, mettant gravement en danger la confidentialité des systèmes touchés.
Des correctifs pour Aria Automation et VMware Cloud Foundation ont été publiés, mais aucune solution alternative n’a été proposée pour les versions plus anciennes, laissant certains utilisateurs exposés.
Vers une sécurité renforcée mais sous conditions
Le paysage de la sécurité VMware est en pleine évolution suite à ces révélations. Tandis que Broadcom assure son engagement à patcher les vulnérabilités critiques, la transition vers un modèle d’abonnement pourrait engendrer des risques pour certains clients. La distribution des correctifs reste un point sensible, tout comme la gestion des licences perpétuelles, désormais contestée par Broadcom via des demandes de retrait de patchs et correctifs.
En conclusion, ces événements soulignent l’importance de rester vigilant et de suivre de près les mises à jour fournies par VMware pour garantir la sécurité des infrastructures virtualisées.
👉 Source ici
