8 Maart 2024
Samenvatting
Deze dinsdag heeft VMware een security advisory gepubliceerd om meerdere vulnerabilities te rapporteren in VMware ESXi, Workstation en Fusion. Ze bieden ook updates voor de getroffen producten om de critical sandbox escape vulnerabilities op te lossen, waardoor het voor aanvallers mogelijk is om uit de virtuele omgeving te ontstnappen en de onderliggende host operating system aan te spreken. Zo zijn er 4 vulnerabilities hieronder opgelijst.
CVE-2024-22252 – Use-after-free vulnerability in XHCI USB controller. Lokale administratieve privileges op een virtuele machine zijn vereist voor een aanvaller om code uit te voeren op de VM’s VMX proces op de host. Op EXSi is de exploitatie beperkt tot binnenin de VMX sandbox, terwijl het op Workstation en Fusion kan leidentot code execution op de machines waarop Workstation of Fusion geïnstalleerd zijn. CVSS 3.1: 9.3 (Critical) for Workstation / Fusion– CVSS 3.1: 8.4 (High) for EXSi
CVE-2024-22253 – Use-after-free vulnerability in UHCI USB controller. Gelijkaardig aan de vorige vulnerability kan een aanvaller met lokale administratieve privileges op een virtuele machine code uitvoeren als het VMX proces op de host. Zo ook is exploitatie beperkt tot binnenin de sandbox op EXSi, terwijl code execution mogelijk is op de host machine waarop Workstation of Fusion geïnstalleerd zijn. CVSS 3.1: 9.3 (Critical) for Workstation / Fusion – CVSS 3.1: 8.4 (High) for EXSi
CVE-2024-22254 – ESXi Out-of-bounds write vulnerability. Een kwaadwillige actor met privileges in het VMX process kan een out-of-bounds write triggeren wat kan leiden tot een escape van de sandbox. CVSS 3.1: 7.9 (High)
CVE-2024-22255 – Information disclosure vulnerability in UHCI USB controller. Op EXSi, Workstation en Fusion kan een malicious actor met administratieve toegang tot een virtuele machine deze vulnerabilitie exploiteren om memory te lekken van het VMX proces. CVSS 3.1: 7.1 (High)
Getroffen Versies
The tabel hieronder toont de getroffen en opgeloste versies voor de producten.
Aanbevelingen
Een workaround om CVE-2024-22252, CVE-2024-22253, and CVE-2024-22255 te mitigeren, is om alle USB controllers van de virtuele machine te verwijderen. Hierdoor zal USB passthrough functionaliteit onbeschikbaar zijn. Meer informatie kan hier teruggevonden worden.
Door de kritieke ernst van de vulnerabilities worden klanten aangeraden om de producten te patchen tot de laatste versies. Zie de “Fixed Version” kolom in de tabel onder “Affected Versions”.
Ten slotte heeft VMware ook een FAQ gepubliceerd samen met hun security bulletin, waarin ze begeleiding bieden over hoe men de vulnerabilities kan oplossen. Ze benadrukken ook het belang van patchen.