Une vulnérabilité critique découverte sur des produits Dell EMC et VMware

Plusieurs vulnérabilités ont été découvertes sur Dell EMC Avamar, Dell Integrated Protection Applicance (IDPA) et VMWare vSphere Data Protection. On compte au total 4 vulnérabilités, une critique, une importante et 2 modérées. L'exploitation de la vulnérabilité la plus critique pourrait permettre à un attaquant d’exécuter du code à distance sur le serveur cible. Une attaque de ce type est simple à mettre en œuvre et ne nécessite ni privilèges ni interaction utilisateur. L'impact estimé sur la confidentialité, l'intégrité et la disponibilité est élevé.

Dell EMC Avamar est un logiciel de sauvegarde et restauration utilisée en entreprise. Une version du logiciel est disponible également pour les environnements virtualisés, elle est utilisée notamment par VMware dans son logiciel d'infrastructure de Cloud Computing vSphere et plus particulièrement dans le gestionnaire de sauvegarde Data Protection. De ce fait, toutes les vulnérabilités identifiées ici sur le produit Dell se retrouvent également sur vSphere. Ces deux solutions sont couramment utilisées dans les environnements d'entreprise. Ces failles affectent également Dell EMC Integrated Data Protection Appliance, une solution similaire à Avamar. 

VMWare et Dell EMC Avamar ont indiqué des correctifs pour les produits affectés par ces vulnérabilités. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.

Détails techniques 

Les vulnérabilités ont été référencées comme suit : 

  • CVE-2018-11066 [CVSS v3 9.8] : Une vulnérabilité sur EMC Avamar Server et EMC IDPA dont l'exploitation permettrait à un attaquant d’exécuter des commandes à distance directement sur le serveur. Aucun détail supplémentaire n'a été communiqué, ni par Dell, ni par VMware.
  • CVE-2018-11067 [CVSS v3 6.1] : Une vulnérabilité portant sur les mêmes produits et versions que la faille précédente. Un attaquant pourrait l'exploiter pour rediriger des utilisateurs vers un site internet malveillants via des URL spécialement conçues. Elle permettrait donc de réaliser des attaques par hameçonnage.
  • CVE-2018-11076 [CVSS v3 7.9]  : Une vulnérabilité dont l'exploitation permettrait à un attaquant de récupérer la clé privée TLS de la console de management utilisée lors des communications. Une attaque de type homme du milieu pourrait alors être réalisée. Elle reste néanmoins complexe à mettre en œuvre et nécessite l'interaction avec un utilisateur. Aucun privilège n'est requis pour l'exploiter.
  • CVE-2018-11077 [CVSS v3 6.3] : Une vulnérabilité dont l'exploitation permettrait à un attaquant d’exécuter des commandes sur le serveur cible. Il est ainsi possible d’exécuter ces commandes avec des privilèges root si l'attaquant dispose d'un compte administrateur sur Avamar. L’attaque nécessite donc des privilèges élevés, mais est peu complexe à mettre en place et ne nécessite pas d'interaction avec un utilisateur.
Informations
+

Risques

  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire

Criticité

  • Score CVSS : 9.8 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'est disponible publiquement.

Composants & versions vulnérables

  • Dell EMC IDPA 2.0.x
  • VMware vSphere Data Protection versions 6.0.x et 6.1.x
  • Dell EMC Avamar Server 7.2.x
  • Dell EMC Avamar Server 7.3.x
  • Dell EMC Avamar Server 7.4.x
  • Dell EMC Avamar Server 7.5.x
  • Dell EMC Avamar Server 18.1

CVE

  • CVE-2018-11066
  • CVE-2018-11067
  • CVE-2018-11076
  • CVE-2018-11077

Recommandations
+

Mise en place de correctif de sécurité

  • VMware a publié plusieurs correctifs de sécurité pour VDP. De même, plusieurs mises à jour ont été publiées par Dell sur ses produits.

Solution de contournement

  • Aucune solution de contournement n'est proposée.