Aller au contenu principal
Actualités7 min de lecture

Faille critique VMware vCenter Server (CVE-2023-34048) : ce que les PME doivent faire maintenant

La faille CVE-2023-34048 permet l'exécution de code à distance sur VMware vCenter Server. Impact sur les PME utilisant des infrastructures virtualisées, correctifs à appliquer et mesures de protection.

Correction de la faille critique VMware vCenter Server CVE-2023-34048

Sommaire

Une faille critique qui expose vos machines virtuelles à une prise de contrôle totale

En octobre 2023, VMware a révélé une faille critique dans vCenter Server, référencée CVE-2023-34048. Avec un score CVSS de 9.8 sur 10, c'est l'une des vulnérabilités les plus graves découvertes dans l'écosystème VMware.

La découverte, créditée à Grigory Dorodnov de Trend Micro Zero Day Initiative, a poussé VMware à publier des correctifs en urgence — y compris pour des versions en fin de support, signe de la gravité de la situation.

Pourquoi c'est critique pour votre PME : si vous utilisez VMware pour virtualiser vos serveurs (ce qui est le cas de la majorité des PME avec une infrastructure on-premise), un attaquant peut potentiellement prendre le contrôle de toutes vos machines virtuelles via cette faille — sans même avoir besoin d'un mot de passe.

Comprendre la faille : explication technique simplifiée

Ce qui est vulnérable

La vulnérabilité se situe dans l'implémentation du protocole DCE/RPC (Distributed Computing Environment / Remote Procedure Call) de vCenter Server. Ce protocole gère la communication entre le client d'administration et le serveur vCenter.

Comment un attaquant peut l'exploiter

  1. L'attaquant envoie une requête spécialement conçue au service vCenter accessible sur le réseau
  2. Cette requête exploite une erreur de type out-of-bounds write (écriture hors limites) dans le traitement DCE/RPC
  3. Le code malveillant s'exécute avec les privilèges du service vCenter — c'est-à-dire un accès administrateur complet
  4. L'attaquant prend le contrôle du serveur vCenter et de toutes les machines virtuelles qu'il gère

Pourquoi c'est particulièrement dangereux

  • Pas d'authentification requise : l'attaquant n'a pas besoin de mot de passe
  • Accès réseau suffisant : il suffit d'atteindre le port du service vCenter
  • Impact en cascade : compromettre vCenter = compromettre tout le datacenter virtuel
  • Exploitation active confirmée : Mandiant a confirmé que la faille a été exploitée dans des attaques ciblées dès octobre 2023

Votre infrastructure VMware est-elle à jour et sécurisée ?

Notre audit de cybersécurité vérifie l'état de vos correctifs, la segmentation réseau de vos consoles d'administration et les accès à votre infrastructure virtualisée.

Demander un audit de sécurité infrastructure

Versions concernées et correctifs disponibles

Versions vulnérables

ProduitVersions vulnérablesVersion corrigée
vCenter Server 8.0Toutes les versions avant 8.0U28.0U2
vCenter Server 7.0Toutes les versions avant 7.0U3o7.0U3o
VMware Cloud Foundation 5.xVersions avec vCenter 8.0 non patchéMise à jour KB article
VMware Cloud Foundation 4.xVersions avec vCenter 7.0 non patchéMise à jour KB article

VMware a pris la décision exceptionnelle de publier des correctifs pour vCenter Server 6.7 et 6.5, pourtant en fin de support depuis octobre 2022 — preuve de la gravité de la situation.

Comment appliquer le correctif

  1. Identifiez votre version : connectez-vous à l'interface VAMI (https://vcenter-ip:5480) et notez le numéro de build
  2. Téléchargez le correctif depuis le portail VMware Customer Connect
  3. Planifiez l'intervention hors heures ouvrées (le redémarrage du service vCenter prend 10-15 minutes)
  4. Appliquez le correctif via la VAMI ou en ligne de commande
  5. Vérifiez que le numéro de build correspond à la version corrigée

Plan d'action complet pour les PME

L'application du correctif est nécessaire, mais pas suffisante. Voici les mesures complémentaires que nous recommandons :

1. Appliquer les correctifs immédiatement

C'est la priorité absolue. Chaque jour sans correctif est un jour où votre infrastructure est exposée. Si vous avez un prestataire d'infogérance, contactez-le pour qu'il planifie l'intervention dans les 24 heures.

2. Restreindre l'accès réseau à vCenter

vCenter Server ne devrait jamais être accessible depuis Internet. Mais dans de nombreuses PME, il est accessible depuis tout le réseau interne, ce qui est aussi un risque. Restreignez l'accès aux seules IP des administrateurs via un pare-feu ou des ACL réseau.

3. Auditer les comptes d'administration

Profitez de cet incident pour vérifier :

  • Qui a accès à vCenter ? (supprimez les comptes inutilisés)
  • Les mots de passe sont-ils robustes et uniques ? (utilisez un gestionnaire de mots de passe professionnel)
  • Le MFA est-il activé sur l'accès vCenter ? (si votre version le supporte)

4. Vérifier vos sauvegardes

Si votre vCenter avait été compromis, seriez-vous capable de restaurer vos machines virtuelles ? Vérifiez que vos sauvegardes sont fonctionnelles et testées. Les sauvegardes stockées sur la même infrastructure VMware seraient potentiellement compromises aussi — privilégiez un stockage hors-site.

5. Mettre en place un monitoring des vulnérabilités

Cette faille n'est pas la première, et ne sera pas la dernière. Un SOC managé surveille en continu les nouvelles vulnérabilités et s'assure que les correctifs sont appliqués dans les délais. C'est la différence entre une posture réactive (on patche quand on y pense) et proactive (on patche dès que le correctif est disponible).

6. Préparer la migration vers une infrastructure cloud

Cet incident illustre un problème récurrent des infrastructures on-premise : chaque composant est un vecteur d'attaque supplémentaire à maintenir et patcher. De plus en plus de PME migrent vers des environnements cloud managés (Microsoft 365, Azure) qui délèguent la gestion des correctifs infrastructure au fournisseur.

Les leçons à retenir pour votre PME

Cet incident VMware s'inscrit dans une tendance de fond : les vulnérabilités critiques dans les composants d'infrastructure se multiplient. En 2023-2024, des failles similaires ont touché Citrix, Cisco, Fortinet et Ivanti.

Pour une PME, la question n'est pas "est-ce que je serai touché ?" mais "suis-je capable de réagir assez vite ?". La réponse passe par :

  • Un audit de cybersécurité régulier pour identifier les vulnérabilités avant qu'elles soient exploitées
  • Un prestataire d'infogérance qui applique les correctifs critiques dans les 24 à 48 heures
  • Un EDR/XDR managé qui détecte les comportements suspects même quand une faille est exploitée
  • Un plan de sauvegarde et de reprise d'activité testé régulièrement
FAQ

Qu'est-ce que la faille CVE-2023-34048 ?

Il s'agit d'une vulnérabilité critique (score CVSS 9.8/10) dans VMware vCenter Server qui permet à un attaquant non authentifié d'exécuter du code à distance. Elle exploite une faiblesse dans l'implémentation du protocole DCE/RPC. VMware a publié des correctifs pour toutes les versions concernées.

Ma PME utilise VMware, suis-je concerné ?

Si vous utilisez VMware vCenter Server pour gérer vos machines virtuelles (versions 7.0 et 8.0 avant les correctifs), vous êtes potentiellement vulnérable. Les versions VMware Cloud Foundation 4.x et 5.x sont également concernées. Appliquez les correctifs immédiatement ou contactez votre prestataire d'infogérance.

Comment savoir si ma version de vCenter est vulnérable ?

Connectez-vous à votre interface vCenter et vérifiez le numéro de version dans le menu Aide > À propos. Comparez-le avec les versions corrigées listées dans l'avis de sécurité VMware VMSA-2023-0023. Si vous n'êtes pas sûr, faites réaliser un audit de vulnérabilité.

Quelles sont les conséquences d'une exploitation de cette faille ?

Un attaquant exploitant cette faille peut prendre le contrôle total de votre serveur vCenter, et par extension de toutes les machines virtuelles qu'il gère. Cela signifie un accès potentiel à toutes vos données, vos applications métier et vos sauvegardes si elles sont sur la même infrastructure.

Le correctif peut-il être appliqué sans interruption de service ?

L'application du correctif vCenter peut nécessiter un redémarrage du service vCenter Server, ce qui entraîne une brève interruption de la console de gestion. Les machines virtuelles en fonctionnement ne sont pas impactées pendant la mise à jour de vCenter. Planifiez l'intervention hors heures ouvrées par précaution.
Faites auditer votre infrastructure par nos experts
Valentin Bourgeois, fondateur Dhala Cyberdéfense

Valentin Bourgeois

Fondateur — Dhala Cyberdéfense · Meilleur Espoir MSP 2025 (BeMSP)

Expert en cybersécurité et infogérance pour PME. J'accompagne les dirigeants dans la protection de leur système d'information — de l'audit initial au SOC 24/7.

Demander un audit Sans engagement — résultats sous 48h
5.0 — 40 avis
+50 PME protégées
SOC 24/7
3 mois sans engagement

Articles similaires

Valentin Bourgeois (Dhala), Thomas Bresse (BeMSP) et Olivier Bellin sur le plateau LesStratégiques de Distributique
Actualités31 mars 2026

Services managés : pourquoi le modèle MSSP s'impose en France

Invité sur LesStratégiques de Distributique, Valentin Bourgeois (Dhala) explique pourquoi le modèle MSSP s'impose face au MSP classique pour sécuriser les PME françaises.

Interview Distributique avec Thomas Bresse de BeMSP et Valentin Bourgeois de Dhala Cyberdéfense sur l'avenir du MSP et MSSP en 2026
Actualités13 mars 2026

Du MSP au MSSP : l'IA et la cybersécurité redéfinissent les services managés en 2026

Interview chez Distributique avec BeMSP : comment l'IA, l'automatisation et la cybersécurité transforment le métier de MSP vers le MSSP. Retour sur les enjeux du Managed Intelligence Provider (MIP) pour les PME.

Bilan des cyberattaques en France en 2025 et impact sur les PME
Actualités28 janv. 2026

Bilan cybersécurité 2025 en France : ce que chaque PME doit retenir

Plus de 17 500 cyberattaques en France en 2025. Free, Auchan, hôpitaux, PME : retour sur une année record et les enseignements concrets pour protéger votre entreprise en 2026.

Audit de sécurité

Testez votre posture cyber en 2 min. Sans engagement.

Lancer l'audit

Restez protégé face aux nouvelles menaces

Nos experts surveillent les menaces 24/7. Découvrez comment nous protégeons +50 PME. Notre approche.
Tester ma sécurité
Photo Valentin
ParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasov