CVE-2024-37085

Contournement d’Authentification sur VMware ESXi via Gestion de Groupe AD

Une faille de sécurité, identifiée sous le nom de CVE-2024-37085, permet à un attaquant de contourner le mécanisme d’authentification de VMware ESXi. Cette vulnérabilité exploite les permissions sur Active Directory (AD).

Points Clés :

• La vulnérabilité affecte VMware ESXi lorsqu’il est configuré pour utiliser AD pour la gestion des utilisateurs.
• Un acteur malveillant disposant de privilèges suffisants dans AD peut exploiter la faille.

Vulnérabilité :

• CVE-2024-37085 : Vulnérabilité de contournement d’authentification.

Mécanisme d’Exploitation :

L’exploitation réussie repose sur la recréation d’un groupe AD configuré (par défaut, nommé ‘ESXi Admins’) après sa suppression. Un attaquant qui a déjà obtenu un accès limité au système peut ainsi escalader ses privilèges pour obtenir un contrôle administratif complet de l’hyperviseur ESXi.

Impact :

Un attaquant disposant d’un accès administratif peut :

• Modifier les paramètres de l’hyperviseur.
• Contrôler les systèmes d’exploitation invités.
• Potentiellement chiffrer le système de fichiers.

Recommandations :

Bien que l’article ne fournisse pas de recommandations spécifiques, la nature de la vulnérabilité suggère qu’il est crucial de maintenir une gestion stricte des permissions et des groupes au sein d’Active Directory, en particulier pour les groupes utilisés dans la configuration des systèmes critiques comme VMware ESXi. Des audits réguliers des permissions AD et des pratiques de suppression sécurisées de groupes sont conseillés. Il est également impératif de suivre les avis de sécurité de VMware pour d’éventuels correctifs ou directives supplémentaires.

Source