A photograph of a sign with the VMware logo.

Les acteurs de la menace pourraient récupérer des noms d’utilisateur valides de VMware en exploitant les vulnérabilités

Lucas Morel

Des trous dans NSX et VCenter pourraient être exploités pour obtenir un accès au réseau, des prétentions consultatives.

Trois nouvelles vulnérabilités ont été trouvées dans les produits VMware critiques, dont deux qui pourraient être utilisés pour récupérer les noms d’utilisateur.

Le trio de trous, dont deux a été trouvé par la US National Security Agency (NSA), ont été divulgués lundi et étiquetés «importants» en termes de gravité.

Des correctifs sont disponibles pour brancher les trois.

«Les organisations qui retardent le patchs sont confrontées à un risque accru d’incident», a déclaré Ed Dubrovsky, chef de l’exploitation de la société d’intervention en cas d’incident Cypfer. «Un attaquant pourrait se glisser dans des systèmes internes sous le radar, pivoter des actifs sensibles, ou utiliser les données de reconnaissance pour monter des attaques de suivi plus dommageables. Il n’y a aucune bonne raison pour que les organisations permettent à la boîte à outils de reconnaissance de l’adversaire, ni pour réduire la barrière pour le mouvement latéral ou l’escalade de phisse, donc le patch dès que possible.»

Les vulnérabilités sont

  • CVE-2025-41250, une vulnérabilité d’injection d’en-tête SMTP dans Vcentre, la plate-forme de gestion centralisée pour le logiciel de virtualisation de VMware. Un acteur malveillant avec des privilèges non administratifs sur VCenter qui a la permission de créer des tâches planifiées peut être en mesure de manipuler les e-mails de notification envoyés pour des tâches planifiées, indique l’avis.
    « Étant donné qu’il nécessite une authentification, les possibilités d’exploit sont probablement limitées », a commenté Johannes Ullrich, doyen de la recherche au Sans Institute;
  • CVE-2025-41251, une vulnérabilité de mécanisme de récupération de mot de passe faible dans NSX, la solution de virtualisation de la société pour les réseaux. Un acteur malveillant non authentifié pourrait exploiter cette vulnérabilité pour énumérer les noms d’utilisateur valides, dit l’avis, conduisant potentiellement à des attaques par force brute;
  • CVE-2025-41252, une vulnérabilité d’énumération du nom d’utilisateur, également dans NSX. Un acteur malveillant non authentifié peut exploiter cette vulnérabilité pour énumérer les noms d’utilisateur valides, dit l’avis, conduisant potentiellement à des tentatives d’accès non autorisées.

« En ce qui concerne les vulnérabilités, la possibilité d’énumérer les utilisateurs est mineure et courante dans les formulaires de réinitialisation de mot de passe », a déclaré Ullrich. «De nombreuses fonctionnalités de réinitialisation de mot de passe permettra à l’utilisateur de savoir si un compte pour réinitialiser le mot de passe n’existe pas. Cela peut être utilisé pour identifier les comptes qui existent.»

Bien que le bug doit être corrigé, il ne le considère pas comme une priorité élevée. «L’énumération de l’utilisateur pourrait être exploitée pour un forçage brute plus efficace, mais le forçage brute peut se produire sans lui. Les CISO devraient examiner comment le forçage brute est atténué, par exemple, via un pare-feu ou des options de configuration d’application Web dans vCenter.»

VCenter ne devrait pas être exposé à Internet, a-t-il ajouté. Au lieu de cela, l’accès devrait être via un VPN.

Les produits impactés en plus de NSX et VCENTRE sont VMware Cloud Foundation, une plate-forme intégrée de centre de données défini par logiciel (SDDC); Plate-forme cloud de télécommunications VMware et infrastructure cloud VMware Telco.

Ces vulnérabilités mettent en évidence le risque croissant associé aux environnements virtualisés et leur complexité croissante, a déclaré Dubrovsky de Cypfer. «Bien qu’il n’y ait aucune preuve que ces vulnérabilités offrent elles-mêmes tout type d’exécution de code distant, elles offrent une éventuelle avenue pour la falsification de certains flux de messagerie et pour sonder les systèmes pour des informations supplémentaires telles qu’une liste de comptes valides.»

Ceci est risqué, a-t-il dit, car les acteurs de la menace dans de nombreux scénarios d’attaque doivent accéder à des informations d’identification valides. «Il y a un marché en plein essor sur le Web Dark qui vend de telles informations, permettant aux acteurs de menace de prendre pied dans un environnement, puis de se développer en se déplaçant latéralement et de gagner des opportunités pour augmenter leurs niveaux de privilèges d’accès pour exfiltrer des informations restreintes et confidentielles ou prendre un contrôle complet pour le cryptage du système ou d’autres dégâts», a-t-il déclaré.

Il a souligné que de nombreux acteurs de menace utilisent des dictionnaires, qui incluent les informations d’identification par défaut expédiées avec des produits, pour deviner les mots de passe ou les noms d’utilisateur, et cela n’aide pas que de nombreuses organisations oublient de les changer. Les dirigeants informatiques qui obligent la modification des informations d’identification par défaut augmentent le temps nécessaire à un acteur de menace pour deviner la partie d’identification de connexion d’une paire d’identification. Ces bugs, en revanche, facilitent le travail de l’attaquant.

« En utilisant ces vulnérabilités (VMware), sans aucun accès spécial, les acteurs de la menace peuvent énumérer les comptes actifs sur les systèmes, ce qui leur donne essentiellement environ 50% pour deviner la paire d’identification (connexion / mot de passe) », a-t-il déclaré. «Il s’agit d’une condition à haut risque, et les administrateurs doivent patcher immédiatement et s’assurer qu’ils n’utilisent pas les connexions du compte par défaut.»

Robert Beggs, responsable de la société canadienne de réponse aux incidents, DigitalDence, a déclaré que la vulnérabilité d’attaque SMTP semble «quelque peu limitée malgré le niveau de gravité élevé. Elle nécessite une action malveillante de la part d’un utilisateur légitime qui n’a pas encore d’accès au niveau administratif.»

Il a convenu avec Dubrovsky que les deux autres vulnérabilités ensemble donnent à un attaquant la capacité d’identifier les noms d’utilisateur légitimes. La connaissance de la moitié d’un diplôme d’accès faciliterait les attaques telles que la devinette par le mot de passe ou le mot de passe de pulvérisation des attaques. « Cela rend ces attaques plus fiables », a-t-il dit, « et minimise l’effort qui pourrait être identifié par divers contrôles de sécurité. Ensemble, sachant que même la moitié des informations d’identification réduira la sécurité et facilitera les choses pour l’attaquant. »

Il a ajouté: «Cela fait que chez moi l’importance de l’authentification multi-facteurs pour la protection des connexions. Si l’attaquant devait utiliser le MFA dans le cadre du profil d’attaque, l’avantage qui vient de connaître la moitié des informations d’accès à l’accès serait largement nié.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

cyber attack alarm alert
Avertissement : la vulnérabilité React2Shell est déjà exploitée par les acteurs malveillants
AI technical debt
Éviter la prochaine dette technique : bâtir une gouvernance de l’IA avant qu’elle ne se brise
A photograph of a person holding a smartphone with the Cloudflare logo displayed. Behind the phone is a blurred monitor displaying the Cloudflare website.,
Le pare-feu Cloudflare réagit mal à l’atténuation des exploits React