Mudanças de emergencial WMware

VMware lança patches de correção extremamente críticos para produtos já em fim de vida

A VMware orienta aos clientes que corrijam vulnerabilidades críticas que possibilitam hackers explorar as proteções do sandbox e do hipervisor em todas as versões, incluindo as que estão fora do suporte, dos produtos VMware ESXi, Workstation, Fusion e Cloud Foundation.

 

Quatro vulnerabilidades - duas com classificações de gravidade de 9,3 de um total possível de 10, prejudicam o objetivo fundamental dos produtos VMware, que é executar operações confidenciais dentro de uma máquina virtual segmentada da máquina host. O fabricante disse que a perspetiva de uma fuga do hipervisor justificava uma resposta imediata.

Mudança de emergência

Em termos de ITIL, esta situação se qualifica como uma mudança de emergência, exigindo ação rápida de sua organização, escreveram os oficiais em uma postagem.  No entanto, a resposta de segurança apropriada varia dependendo das circunstâncias específicas.

Entre as circunstâncias específicas, uma diz respeito ao produto vulnerável que um cliente está usando e outra é se e como ele pode estar posicionado atrás de um firewall. Um aviso da VMware incluiu uma matriz mostrando como as vulnerabilidades - rastreadas como CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255 - afetam cada um dos produtos vulneráveis:

Três das vulnerabilidades afetam o controlador USB que os produtos usam para suportar dispositivos periféricos, como teclados e mouses. O aviso descreve as vulnerabilidades como:

CVE-2024-22252: uma vulnerabilidade de uso após liberação no controlador USB XHCI com uma faixa de gravidade máxima de 9,3 para Workstation/Fusion e uma pontuação base de 8,4 para ESXi. Alguém com privilégios administrativos locais em uma máquina virtual pode executar código como o processo VMX da máquina virtual em execução no host. No ESXi, a exploração é contida dentro do sandbox VMX, enquanto, no Workstation e Fusion, isso poderia levar à execução de código na máquina onde o Workstation ou Fusion está instalado.

CVE-2024-22253: uma vulnerabilidade de uso após liberação no controlador USB UHCI com uma classificação de gravidade máxima de 9,3 para Workstation/Fusion e uma pontuação base de 8,4 para ESXi. Os requisitos de exploração e resultados são os mesmos que para CVE-2024-22252.

CVE-2024-22254: uma vulnerabilidade de gravação fora dos limites com uma pontuação base de gravidade máxima de 7,9. Essa vulnerabilidade torna possível para alguém com privilégios dentro do processo VMX desencadear uma gravação fora dos limites, levando a uma fuga de sandbox.

CVE-2024-22255: uma vulnerabilidade de divulgação de informações no controlador USB UHCI com uma pontuação base CVSSv3 máxima de 7,1. Alguém com acesso administrativo a uma máquina virtual pode explorá-la para vazar memória do processo vmx.

A Broadcom, empresa controladora da VMware, está instando os clientes a corrigirem os produtos vulneráveis. Como solução alternativa, os usuários podem remover os controladores USB das máquinas virtuais vulneráveis, mas a Broadcom enfatizou que essa medida pode degradar a funcionalidade do console virtual e deve ser vista apenas como uma solução temporária. Em um artigo explicando como remover um controlador USB, os oficiais escreveram:

"A solução alternativa é remover todos os controladores USB da Máquina Virtual. Como resultado, a funcionalidade de passagem USB estará indisponível.

Além disso, dispositivos USB virtuais/emulados, como pendrive USB virtual ou dongle VMware, não estarão disponíveis para uso pela máquina virtual. Em contraste, o teclado/mouse padrão como dispositivos de entrada não são afetados, pois, por padrão, não estão conectados através do protocolo USB, mas têm um driver que faz emulação de dispositivo de software no sistema operacional convidado.

IMPORTANTE

Certos sistemas operacionais convidados, incluindo o Mac OS, não suportam o uso de um mouse e teclado PS/2. Esses sistemas operacionais convidados ficarão sem mouse e teclado sem um controlador USB."

A VMware disse que não tem conhecimento de qualquer evidência de que alguma das vulnerabilidades esteja sendo ativamente explorada.

A OTG destaca que já estamos atuando junto aos nossos clientes para aplicar as correções orientadas pela VMware, e os clientes podem nos procurar para orientações sobre como se proteger.

 

Fonte: ARSTECHNICA