A VMware lançou patches para solucionar quatro falhas de segurança que afetam ESXi, Workstation e Fusion, incluindo duas falhas críticas que podem levar à realização de código.
Rastreado porquê CVE-2024-22252 e CVE-2024-22253, as vulnerabilidades foram descritas porquê bugs de uso em seguida liberação no controlador USB XHCI. Eles possuem uma pontuação CVSS de 9,3 para Workstation e Fusion e 8,4 para sistemas ESXi.
“Um ator malicioso com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar código porquê o processo VMX da máquina virtual em realização no host”, disse a empresa em um novo expedido.
“No ESXi, a exploração está contida na sandbox VMX, enquanto no Workstation e Fusion, isso pode levar à realização de código na máquina onde o Workstation ou Fusion está instalado.”
Vários pesquisadores de segurança associados ao Ant Group Light-Year Security Lab e QiAnXin foram creditados por deslindar e relatar CVE-2024-22252 de forma independente. Os pesquisadores de segurança VictorV e Wei foram reconhecidos por relatar o CVE-2024-22253.
Também corrigidas pelo provedor de serviços de virtualização de propriedade da Broadcom estão duas outras deficiências –
- CVE-2024-22254 (Pontuação CVSS: 7,9) – Uma vulnerabilidade de gravação fora dos limites no ESXi que um ator mal-intencionado com privilégios dentro do processo VMX poderia explorar para acionar uma fuga de sandbox.
- CVE-2024-22255 (Pontuação CVSS: 7.1) – Uma vulnerabilidade de divulgação de informações no controlador USB UHCI que um invasor com chegada administrativo a uma máquina virtual pode explorar para vazar memória do processo vmx.
Os problemas foram resolvidos nas seguintes versões, incluindo aquelas que atingiram o término da vida (EoL) devido à seriedade desses problemas –
Porquê solução temporária até que um patch possa ser implantado, os clientes foram solicitados a remover todos os controladores USB da máquina virtual.
“Aliás, dispositivos USB virtuais/emulados, porquê pendrive ou dongle USB virtual VMware, não estarão disponíveis para uso pela máquina virtual”, disse a empresa. “Em contraste, o teclado/mouse padrão porquê dispositivos de ingresso não são afetados, pois, por padrão, não estão conectados através do protocolo USB, mas possuem um driver que faz emulação de dispositivo de software no sistema operacional convidado.”
