L'agence de cybersécurité du gouvernement américain a relancé les alarmes : l'agence de cybersécurité et de sécurité de l'infrastructure (CISA) a activement exploités vulnérabilité critique chez VMware vCenter Server et a demandé aux agences fédérales civiles de sécuriser leurs serveurs dans les trois semaines. L'échec, enregistré comme CVE-2024-37079 a été corrigé par le fabricant en juin dernier, mais la combinaison de sa gravité et de la confirmation des activités de nature a augmenté l'intervention d'urgence.
En termes simples, vCenter Server est la console centrale qui gère les environnements VMware vSphere : il coordonne les serveurs ESXi, les machines virtuelles et les politiques d'infrastructure. Lorsqu'une telle pièce critique présente une défaillance d'exécution de code à distance, l'impact potentiel est énorme: un attaquant ayant accès au réseau à vCenter pourrait, à travers un paquet spécialement manipulé, exécuter le code sur le serveur sans avoir besoin d'identifications ou d'interactions utilisateur. Techniquement, la faiblesse vient d'un débordement dans la gestion du protocole DCERPC au sein de vCenter, et par sa nature permet des vecteurs d'attaque de faible complexité.
Broadcom - maintenant propriétaire de VMware - a averti ses clients de l'urgence de la mise à jour et des instructions de sécurité publiées; leur communication indique clairement qu'il n'y a pas d'autre atténuation fiable pour cette vulnérabilité, donc la mise à jour des versions séparées est l'action recommandée. L'avis du fournisseur est disponible sur son portail de support: conseil de Broadcom.
La CISA a officialisé la gravité de la situation en ajoutant CVE-2024-37079 à son catalogue de vulnérabilités bien connues, et a publié que les organismes exécutifs non militaires (les organismes exécutifs civils fédéraux) devraient protéger les systèmes vulnérables avant 13 février 2026 conformément à la directive opérationnelle contraignante BOD 22-01. Vous pouvez lire l'action de la CISA et l'exigence dans votre déclaration publique : Alerte de la CISA et la page de la directive: BOD 22-01.
Le fait que Broadcom ait confirmé qu'il y a des signes d'exploitation réelle dans les environnements productifs renforce l'urgence: lorsqu'un fournisseur et l'agence nationale de cybersécurité conviennent qu'un échec est exploité, le risque va au-delà de la simple hypothèse. En plus d'appliquer les correctifs officiels (disponible dans la section Sécurité VMware: VMware avis de sécurité), les équipes opérationnelles devraient assumer la possibilité d'engagements antérieurs et réagir en conséquence.
Ce n'est pas la première fois que les technologies de virtualisation sont apparues au radar par des exploitations ciblées : au cours des mois précédents, des campagnes ont été détectées qui ont profité des défaillances de VMware et d'autres produits liés à Broadcom, ce qui renforce l'idée que les attaquants pointent systématiquement vers la couche de gestion de l'infrastructure virtualisée. Ces tendances ont amené la CISA à exiger des remèdes rapides à plusieurs reprises ces dernières années.
Pour les gestionnaires et les responsables de la sécurité, la première étape incontournable est de planifier et de mettre en œuvre la mise à jour de vCenter dans des fenêtres contrôlées, en testant les patchs dans des environnements non productifs avant de les déployer à la production. Depuis pas de solutions temporaires officielles Pour le CVE-2024-37079, il convient également de réduire la surface d'attaque dans la mesure du possible : isoler le vCenter dans un réseau de gestion distinct, appliquer des règles strictes de pare-feu qui limitent l'accès IP et revoir les contrôles d'accès administratifs. Il est également prudent d'accroître la surveillance, de corréler les audits et les dossiers de circulation à la recherche de tendances anormales, et de préparer des procédures d'intervention en cas d'incident en cas de détection d'activités suspectes.
Il est important de se rappeler que le maintien de sauvegardes vérifiées et d'un plan de rétablissement clair aident à atténuer les impacts si une opération compromettait l'infrastructure virtuelle. En outre, la coordination avec les fournisseurs et les équipes de sécurité interne pour échanger des indicateurs d'engagement (IoC) et les leçons apprises peuvent accélérer le confinement et la récupération.
L'inclusion de cet échec dans le catalogue des vulnérabilités exploitées par des acteurs réels et de l'ordre direct aux organismes fédéraux met en évidence une leçon récurrente : dans les infrastructures essentielles, les couches de gestion sont des objectifs de grande valeur et nécessitent un entretien et une surveillance constants. Si vous administrez vCenter ou dépendez des services qui l'utilisent, La fenêtre pour agir est courte et la priorité devrait être d'appliquer les correctifs officiels et de suivre les guides du fournisseur et des autorités compétentes.
Pour plus de détails techniques sur la vulnérabilité et l'accès aux correctifs, voir les sources officielles susmentionnées : l'enregistrement du CVE dans le NIST ( CVE-2024-37079), avis du fournisseur sur Broadcom ( conseil de Broadcom) et la communication de la CISA ( Alerte de la CISA).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...