Bulletins de sécurité

Conformément à l'avis de sécurité VMware VMSA-2024-0020, plusieurs failles dans VMware NSX ont été signalées à VMware de manière responsable.

La version NSX-T exécutée sur votre environnement VMware Engine n'est pas affectée par les failles CVE-2024-38815, CVE-2024-38818 ou CVE-2024-38817.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Conformément à l'avis de sécurité VMware VMSA-2024-0021, une faille d'injection SQL authentifiée dans VMware HCX a été signalée à VMware de manière privée.

Nous avons appliqué la mesure d'atténuation approuvée par VMware pour corriger cette faille. Ce correctif résout une faille de sécurité décrite dans CVE-2024-38814. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les modifications appliquées. Des mesures d'atténuation appropriées ont été installées et votre environnement est protégé contre cette faille.

Que dois-je faire ?

Nous vous recommandons de passer à la version 4.9.2 de VMware HCX.

• VMSA-2024-0021
• CVE-2024-38814

VMware a révélé plusieurs failles dans l'VMSA-2024-0019 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

• Google a déjà désactivé toute exploitation potentielle de cette faille. Par exemple, Google a bloqué les ports par lesquels cette faille pourrait être exploitée.
• De plus, Google s'assure que tous les futurs déploiements de vCenter ne sont pas exposés à cette faille.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

• CVE-2024-38812
• CVE-2024-38813

Une faille CVE-2024-6387 a été détectée dans le serveur OpenSSH (sshd). Cette faille est exploitable à distance sur les systèmes Linux basés sur glibc : exécution de code à distance non authentifiée en tant que root, car elle affecte le code privilégié de sshd, qui n'est pas placé dans un bac à sable et s'exécute avec des droits d'accès complets.

Au moment de la publication, l'exploitation est considérée comme difficile, car elle nécessite de gagner une condition de course, qui est difficile à exploiter et peut prendre plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

1. Appliquez les mises à jour des distributions Linux à vos charges de travail dès qu'elles sont disponibles. Veuillez consulter les consignes des distributions Linux.
2. Si la mise à jour n'est pas possible, envisagez de désactiver OpenSSH jusqu'à ce qu'il puisse être corrigé.
3. Si OpenSSH doit rester activé, vous pouvez également exécuter une mise à jour de la configuration qui élimine la condition de cas de course pour l'exploit. Il s'agit d'une atténuation d'exécution. Pour appliquer les modifications apportées à la configuration sshd, ce script redémarre le service sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Enfin, surveillez toute activité réseau inhabituelle impliquant des serveurs SSH.

• CVE-2024-6387
• Réponse de Broadcom concernant VMware Cloud Foundation

VMware a divulgué plusieurs failles dans l'VMSA-2024-0012 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

• La faille peut être exploitée en accédant à des ports spécifiques dans vCenter Server. Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
• De plus, Google s'assure que tous les futurs déploiements de vCenter ne sont pas exposés à cette faille.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware a divulgué plusieurs failles dans l'VMSA-2024-0006 qui affectent les composants ESXi déployés dans les environnements client.

Impact sur VMware Engine

Vos clouds privés ont été mis à jour pour corriger la faille de sécurité.

Que dois-je faire ?

Aucune action de votre part n'est requise.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware a divulgué plusieurs failles dans l'VMSA-2023-0023 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

• La faille peut être exploitée en accédant à des ports spécifiques dans vCenter Server. Ces ports ne sont pas exposés à l'Internet public.
• Si les ports vCenter 2012/tcp, 2014/tcp et 2020/tcp ne sont pas accessibles par des systèmes non approuvés, vous n'êtes pas exposé à cette faille.
• Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
• De plus, Google s'assurera que tous les futurs déploiements du serveur vCenter ne sont pas exposés à cette faille.
• Au moment de la publication de ce bulletin, VMware n'a connaissance d'aucune exploitation dans la nature. Pour en savoir plus, consultez la documentation VMware.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

• CVE-2023-34048, CVE-2023-34056

Les mises à jour de VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impact sur VMware Engine

VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation)

Que dois-je faire ?

Les clients ne sont pas concernés et aucune action n'est requise de leur part.

• CVE-2023-20893

Intel a récemment publié l'avis de sécurité INTEL-SA-00828 concernant certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques en fonction de cet avis.

Impact sur VMware Engine

Notre flotte utilise les familles de processeurs concernées. Dans notre déploiement, l'ensemble du serveur est dédié à un seul client. Par conséquent, notre modèle de déploiement n'ajoute aucun risque supplémentaire à votre évaluation de cette faille.

Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires et les déploierons en priorité dans l'ensemble de la flotte à l'aide du processus de mise à niveau standard au cours des prochaines semaines.

Que dois-je faire ?

Aucune action de votre part n'est requise. Nous mettons à niveau tous les systèmes concernés.

• CVE-2022-40982

Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau).

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Nous vous recommandons de passer à la dernière version de HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974