{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Cloud Foundation (vCenter Server) versions 4.x ant\u00e9rieures \u00e0 4.2","product":{"name":"vCenter Server","vendor":{"name":"VMware","scada":false}}},{"description":"vCenter Server versions 6.5 ant\u00e9rieures \u00e0 6.5 U3n","product":{"name":"vCenter Server","vendor":{"name":"VMware","scada":false}}},{"description":"Cloud Foundation (vCenter Server) versions 3.x ant\u00e9rieures \u00e0 3.10.1.2","product":{"name":"vCenter Server","vendor":{"name":"VMware","scada":false}}},{"description":"vCenter Server versions 7.0 ant\u00e9rieures \u00e0 7.0 U1c","product":{"name":"vCenter Server","vendor":{"name":"VMware","scada":false}}},{"description":"vCenter Server versions 6.7 ant\u00e9rieures \u00e0 6.7 U3l","product":{"name":"vCenter Server","vendor":{"name":"VMware","scada":false}}}],"affected_systems_content":"","closed_at":"2021-05-12","content":"## Contournement provisoire\n\nLe CERT-FR recommande l'application du correctif de s\u00e9curit\u00e9. Toutefois,\ndans les cas o\u00f9 cela n'est pas possible, VMware a publi\u00e9 des mesures de\ncontournement provisoires:\n\n-   <https://kb.vmware.com/s/article/82374>\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd'effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l'application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n","cves":[{"name":"CVE-2021-21972","url":"https://www.cve.org/CVERecord?id=CVE-2021-21972"}],"links":[],"reference":"CERTFR-2021-ALE-003","revisions":[{"description":"Version initiale","revision_date":"2021-02-25T00:00:00.000000"},{"description":"Mise \u00e0 jour suite \u00e0 la d\u00e9couverte d'attaques en cours","revision_date":"2021-02-26T00:00:00.000000"},{"description":"clarification des versions affect\u00e9es","revision_date":"2021-03-01T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-05-12T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[version du 26 f\u00e9vrier 2021\\]</strong>\n\nLe CERT-FR a connaissance d'<strong>attaques en cours</strong> ciblant des serveurs\nvCenter expos\u00e9s sur Internet. <strong>Il est urgent</strong> de proc\u00e9der soit \u00e0\nl'application du contournement pour d\u00e9sactiver le greffon vuln\u00e9rable\nsoit de d\u00e9ployer les versions corrigeant la vuln\u00e9rabilit\u00e9.\n\n<strong>\\[version initiale\\]</strong>\n\nLe 23 f\u00e9vrier 2021, VMware a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant trois\nvuln\u00e9rabilit\u00e9s (cf. section documentation). La\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-21972 est la plus critique. Elle permet une\nex\u00e9cution de code arbitraire \u00e0 distance par un attaquant non\nauthentifi\u00e9.\n\nCette vuln\u00e9rabilit\u00e9 affecte un greffon de vCenter Server permettant la\ncommunication entre vCenter Server et la solution\nVMware\u00a0vRealize\u00a0Operations (vROPs). Ce greffon vuln\u00e9rable est pr\u00e9sent\ndans toutes les installations par d\u00e9faut de\u00a0vCenter. VMware pr\u00e9cise que\nl'exploitation de la vuln\u00e9rabilit\u00e9 est possible m\u00eame si la solution\nvRealize Operations n'est pas utilis\u00e9e.\n\nDes preuves de concept sont disponibles publiquement et le CERT-FR a\nconnaissance\u00a0de campagnes de d\u00e9tection de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-21972, il est donc urgent d'appliquer le\ncorrectif de s\u00e9curit\u00e9.\n\nDe plus, le CERT-FR a constat\u00e9 la pr\u00e9sence d'instances de vCenter\ndirectement accessibles sur internet. Ceci est contraire aux bonnes\npratiques.\n\nPour rappel, ce type de services ne doit jamais \u00eatre expos\u00e9 sur\ninternet. Lorsque cela se r\u00e9v\u00e8le absolument n\u00e9cessaire, il est fortement\nrecommand\u00e9 de recourir \u00e0 des solutions d'acc\u00e8s s\u00e9curis\u00e9s \u00e0 distance.\n\nAinsi, de mani\u00e8re g\u00e9n\u00e9rale, que ce soit sur le r\u00e9seau interne ou \u00e0\ndistance, des bonnes pratiques d'hygi\u00e8ne informatique et de s\u00e9curit\u00e9 en\nprofondeur doivent \u00eatre appliqu\u00e9es, comme recommand\u00e9 dans les guides\nsuivants :\n\n-   <https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/>\n-   <https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/>\n-   <https://www.ssi.gouv.fr/uploads/2020/06/anssi-guide-passerelle_internet_securisee-v3.pdf>\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans VMware vCenter Server","vendor_advisories":[{"published_at":"2021-02-24","title":"Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-145 du 24 f\u00e9vrier 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-145/"},{"published_at":"2021-02-12","title":"Bulletin de s\u00e9curit\u00e9 VMware VMSA-2021-0002","url":"https://www.vmware.com/security/advisories/VMSA-2021-0002.html"}]}