Jonathan Greig Staff Writer
Jonathan Greig er en journalist baseret i New York City.
Fuld bio den 15. februar 2022 | Emne: VMWare
VMware udgav patches til adskillige sårbarheder, der påvirker VMware ESXi, Workstation, Fusion og Cloud Foundation tirsdag, efter sikkerhedsforskere, der deltog i Kinas Tianfu Cup, opdagede problemerne.
Virksomheden udgav en sikkerhedsrådgivning, VMSA-2022-0004, og fortalte ZDNet, at de opfordrer kunder til at implementere deres produkter “i en sikkerhedshærdet konfiguration”, mens de også anvender alle opdateringer, sikkerhedsrettelser og begrænsninger. Rådgivningen dækker CVE-2021-22040, CVE-2021-22041, CVE-2021-22042, CVE-2021-22043 og CVE-2021-22050.
“VMware ESXi, Workstation og Fusion indeholder en use-after-free-sårbarhed i XHCI USB-controlleren. VMware har vurderet alvoren af dette problem til at være i det vigtige alvorlighedsområde med en maksimal CVSSv3-basisscore på 8,4. En ondsindet aktør med lokale administrative rettigheder på en virtuel maskine kan udnytte dette problem til at udføre kode, da den virtuelle maskines VMX-proces kører på værten,” forklarede virksomheden og tilføjede, at VMware ESXi, Workstation og Fusion også indeholdt en dobbelthentningssårbarhed i UHCI USB. controller.
“Disse problemer blev opdaget som en del af Tianfu Cup, en kinesisk sikkerhedsbegivenhed, som VMware deltager i. Disse sårbarheder blev rapporteret til den kinesiske regering af de forskere, der opdagede dem, i overensstemmelse med deres love. ,” sagde VMware i en anden FAQ om problemerne.
VMware sagde også, at ESXi indeholder en uautoriseret adgangssårbarhed på grund af, at VMX har adgang til at indstille autorisationsbilletter. De gav problemet en maksimal CVSSv3-basisscore på 8,2, idet de bemærkede, at en hacker med privilegier inden for VMX-processen muligvis kun kan få adgang til indstillingstjenesten, der kører som en højprivilegeret bruger.
VMware ESXi har også en TOCTOU (Time-of-check Time-of-use) sårbarhed, der eksisterer i den måde, midlertidige filer håndteres på. Det problem havde også en maksimal CVSSv3-basisscore på 8,2, fordi det giver ondsindede aktører med adgang til indstillinger mulighed for at eskalere deres privilegier ved at skrive vilkårlige filer.
“ESXi indeholder en langsom HTTP POST-denial-of-service-sårbarhed i rhttpproxy. VMware har vurderet alvoren af dette problem til at være i moderat sværhedsgrad med en maksimal CVSSv3-basisscore på 5,3. En ondsindet aktør med netværksadgang til ESXi kan udnytte dette problem til at skabe en denial-of-service-tilstand ved at overvælde rhttpproxy-tjenesten med flere anmodninger,” tilføjede VMware.
I sikkerhedsrådgivningen takkede VMware Wei og VictorV fra Kunlun Lab – i samarbejde med 2021 Tianfu Cup Pwn Contest – for at rapportere problemet. George Noseevich og Sergey Gerasimov fra SolidLab blev også takket for deres hjælp med problemerne.
Mens VMware opfordrede brugerne til at anvende alle patches, inkluderede de også løsninger i deres råd og fortalte kunderne, at fjernelse af USB-controllere fra virtuelle maskiner også kan hjælpe med at håndtere problemet. Men vejledningen siger, at det kan være umuligt i stor skala og “eliminerer ikke den potentielle trussel, som patching gør.”
“Konsekvenserne af denne sårbarhed er alvorlige, især hvis angribere har adgang til arbejdsbelastninger i dine miljøer. Organisationer, der praktiserer forandringsledelse ved at bruge ITIL-definitionerne af forandringstyper, ville betragte dette som en 'nødændring',” sagde VMware.
VMSA-2022-0004 er udbredt med hensyn til berørte versioner og operativsystemer, den kan køre på, ifølge nVisium direktør for infrastruktur Shawn Smith og Vectra vicepræsident Aaron Turner.
Turner sagde, at brugen af VMWare-teknologier i de fleste virksomheder er udbredt, langt ud over hvad de fleste sikkerhedsteam sporer som en del af deres sårbarhedsstyringsprogrammer.
Men Blumira CTO Matthew Warner sagde, at sårbarhederne alle kræver lokal adgang og i nogle tilfælde privilegeret lokal adgang. I teorien kunne CVE-2021-22041 udføres eksternt, hvis en angriber udnyttede gæsten, kom ind på gæsten og monterede en USB til den, bemærkede Warner.
“Ideelt set burde fjernudførelse af CVE-2021-22050 (DoS) være umulig, fordi ESXi ikke bør udsættes for internettet. Som sædvanlig skal du patch så hurtigt som muligt og sikre, at dine VMWare-miljøer ikke vender mod internettet. Behandl lokal VMWare-virtualisering som Workstation og Fusion med omhu ved at sikre, at du indsamler data fra slutpunkter, der bruger denne software,” sagde han.
Turner gentog disse bemærkninger, men sagde, at det kunne være en væsentlig sårbarhed, der udnyttes i en øst-vestlig eller lateral bevægelseskampagne for at få adgang til virtualiserede arbejdsbelastninger.