Une élévation de privilèges dans des produits VMware
Date de publication :
Une vulnérabilité considérée comme critique a été découverte dans certains produits de VMware. Elle concerne les produits comme VMware Cloud Foundation qui hébergent une interface Harbor, interface de gestion et de déploiement de cloud privé et publique.
Cette vulnérabilité pourrait permettre à un attaquant d’élever ses privilèges à distance sur le système et de compromettre ensuite l'interface Harbor.
Détails techniques :
- CVE-2019-16097 [Score CVSSv3 9.8] : Un attaquant avec un accès distant capable d'émettre une requête POST sur l’interface /api/users de Harbor pourrait se créer son propre compte, et ce avec des droits d’administration (les droits les plus élevés). Une fois exploitée, la vulnérabilité permettrait donc à l’attaquant de compromettre intégralement l’interface Harbor.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Elévation de privilèges
Criticité
- Score CVSS : 9.80
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
- VMware Harbor Container Registry for PCF 1.8.x antérieures à 1.8.3
- VMware Harbor Container Registry for PCF 1.7.x antérieures à 1.7.6
- VMware Cloud Foundation
CVE
- CVE-2019-16097
Solutions ou recommandations
Mise en place de correctif de sécurité
- VMware Harbor Container Registry for PCF 1.8.3
- VMware Harbor Container Registry for PCF 1.7.6
- Pas encore de patch déployé pour le produit VMware Cloud Foundation
Solution de contournement
- VMware propose de désactiver l’option de création de compte sur l’interface Harbor des différents produits. La procédure détaillée est disponible ici.