Le 5 juin 2025, le CERT-FR publie un avis qui sent bon le déjà-vu mais qui pique toujours autant :
🔹 Multiples vulnérabilités dans VMware NSX
🔍 Traduction : votre infrastructure SDN fait du yoga, mais sans firewall ni désinfectant.
💥 Le fond du problème
Des chercheurs ont identifié plusieurs failles dans VMware NSX, la solution de virtualisation de réseau et sécurité logicielle.
Et pas des moindres :
🧨 CVE-2025-XXXX (détail encore non public, mais suffisamment croustillant)
✅ Impact : exécution de scripts malveillants via XSS (Cross Site Scripting)
✅ Contexte : attaques à distance, via l’interface web d’administration
✅ Pré-requis : un simple utilisateur connecté (parfois même pas besoin de droits admin)
👾 Mode opératoire (dans la vraie vie)
- Un attaquant incite un admin NSX à cliquer sur un lien piégé.
- Un script s’exécute dans le navigateur de la victime, avec les droits de sa session NSX.
- Et là, jackpot :
- Création de règles de firewall
- Modification de la topologie réseau
- Redirection du trafic vers des machines contrôlées
- Ou… effacement pur et simple d’une config SDN bien rodée
🧠 Mais comment on en est encore là ?
Très simple :
- NSX, comme beaucoup de consoles d’admin web, repose sur des interfaces JS/HTML complexes.
- Une mauvaise validation des entrées utilisateurs suffit à injecter du JavaScript malicieux.
- Et comme beaucoup de consoles sont exposées sur des réseaux internes “de confiance”… personne ne pense à surveiller ça.
🔍 Résultat : l’attaquant n’a même pas besoin d’un accès root. Il suffit de piéger un utilisateur trop confiant avec une URL bien formée.
⚠️ Risques concrets
- Contrôle du réseau virtuel
- Pivot pour une compromission complète
- Interception de flux inter-VM
- Modification furtive des règles de sécurité
- Désactivation des micro-segments réseau
Et si vous pensiez que votre SDN vous protégeait mieux qu’un pare-feu physique, il est peut-être temps de reconsidérer certaines croyances…
🛠️ Mesures de mitigation
✅ Appliquer les correctifs fournis par VMware (s’ils sont déjà disponibles — à surveiller sur le site officiel)
✅ Segmenter l’accès à l’interface d’administration NSX
✅ Surveiller les sessions utilisateurs et les logs de modifications
✅ Implémenter une proxy-restriction + MFA + bastion pour tout accès admin
✅ Former les admins à ne pas cliquer n’importe où, même dans l’interface interne (oui, encore…)
🎯 En résumé
Encore un bel exemple d’exposition d’une console critique à des attaques triviales mais efficaces.
Parce qu’en 2025, les failles XSS ne sont toujours pas mortes… surtout quand on laisse les interfaces d’admin se balader sans précaution.
Et pendant que certains rêvent de firewall intelligent à base d’IA quantique, un simple champ de formulaire non filtré met en péril toute une infra SDN.
📎 Source officielle : CERT-FR – Avis 2025-AVI-0477
#cybersécurité #vmware #NSX #vulnérabilité #XSS #adminweb #fail #CERTFR #infrastructureVirtuelle
