Meerdere VMware-oplossingen blijken kritieke kwetsbaarheden te bevatten waarmee hackers door een sandbox en de hypervisorbescherming kunnen breken. Het probleem is dusdanig kritiek dat zelfs end-of-life versies van ESXi, Workstation, Fusion en Cloud Foundation een patch ontvangen.
In totaal gaat het om vier kwetsbaarheden. De getroffen VMware-oplossingen zijn bedoeld om gevoelige operaties te draaien in een virtual machine die gesegmenteerd is van het host-systeem. Maar door de kwetsbaarheden kunnen kwaadwillenden juist toegang krijgen tot het host-systeem waar de hypervisor is geïnstalleerd. Ook kunnen ze toegang krijgen tot meerdere vm’s op het host systeem. Daarmee wordt de isolatie omzeild.
De kwetsbaarheden hebben een CVSS-score meegekregen van 7,1 tot 9,3, maar zijn wel allemaal als kritiek beoordeeld. “In ITIL-termen (Information Technology Infrastructure Library, red.) kwalificeert deze situatie als een noodaanpassing, die onmiddellijke actie van je organisatie vereist. De juiste beveiligingsreactie varieert echter, afhankelijk van specifieke omstandigheden”, aldus VMware.
Tip: Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?
VMX-proces
Drie van de kwetsbaarheden hebben betrekking op de USB-controller die wordt gebruikt voor het ondersteunen van randapparatuur. Ook staat het VMX-proces centraal, wat wordt ingezet voor bijvoorbeeld de communicatie met interfaces en snapshot managers.
De USB/VMX-gerelateerde kwetsbaarheden zijn bekend als CVE-2024-22252, CVE-2024-22253 en CVE-2024-22255. Voor de eerste twee is lokaal beheerdersprivilege voor een virtuele machine vereist, waarna een hacker code kan uitvoeren tijdens het VMX-proces op de host. De derde kwetsbaarheid maakt het mogelijk voor kwaadwillenden om beheerderstoegang tot een virtuele machine te verkrijgen door een geheugenlek in het VMX-proces.
De vierde kwetsbaarheid is geïdentificeerd met het nummer CVE-2024-22254. Deze kwetsbaarheid stelt een persoon met privileges in het VMX-proces in staat een out-of-bounds write te triggeren, waarna deze uit de sandbox ontsnapt en verder het systeem binnendringt.
Volgens VMware zijn er nog geen aanwijzingen dat de vier kwetsbaarheden actief zijn misbruikt. Het feit dat zelfs end-of-life versies een patch ontvangen, benadrukt echter het kritieke karakter van de situatie.
15 uur geleden
