VMware, ESXi, Workstation, Fusion ve Cloud Foundation'da bazıları saldırganların sanal alandan kaçmasına izin verebilecek dört güvenlik açığını (CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255) düzeltti. ve ana makinede kod yürütün.
Güvenlik açıkları hakkında
VMware ESXi tam bir hipervizördür, VMware Workstation ve Fusion masaüstü hipervizörleridir ve VMware Cloud Foundation hibrit bir bulut platformudur.
CVE-2024-22252 ve CVE-2024-22253, VMware ESXi, Workstation ve Fusion'ı etkiler ve sırasıyla XHCI ve UHCI USB denetleyicisindeki serbest kullanım sonrası kritik güvenlik açıklarıdır.
“Sanal makinede yerel yönetim ayrıcalıklarına sahip kötü niyetli bir aktör, sanal makinenin ana makinede çalışan VMX işlemi olarak kod yürütmek için bu sorundan yararlanabilir. ESXi'de, istismar VMX sanal alanında yer alırken, Workstation ve Fusion'da bu, Workstation veya Fusion'ın kurulu olduğu makinede kod yürütülmesine yol açabilir,” VMware güvenlik tavsiyesinde her iki kusur için de belirtiliyor.
CVE-2024-22254, VMware ESXi'yi etkileyen ve VMX işlem ayrıcalıklarına sahip bir tehdit aktörünün sanal alandan kaçmasına izin verebilecek, sınır dışı bir yazma güvenlik açığıdır.
CVE-2024-22255, UHCI USB denetleyicisinde VMware ESXi, Workstation ve Fusion'ı etkileyen bir bilginin açığa çıkması güvenlik açığıdır. Bir sanal makineye yönetim erişimi olan bir tehdit aktörü, vmx işleminden bellek sızdırmak için bu makineyi kullanabilir.
Şirket, “Şu an itibariyle VMware'in bu güvenlik açıklarından herhangi bir şekilde 'ortalıkta' yararlanıldığının farkında olmadığını” belirtti.
Güvenlik açıkları, 2023 Tianfu Cup Pwn Yarışmasına katılan çeşitli ekipler tarafından bulunup kullanıldı ve yama uygulanması için VMware'e özel olarak açıklandı.
Hemen yama yapın!
Güvenlik açıklarını gideren güncellemeler aşağıdakiler için sağlanmıştır:
- ESXi v7.0
- ESXi v8.0
- İş istasyonu v17.x
- Fusion v13.x (macOS)
- Bulut Vakfı (VCF) v5.x/4.x
Güvenlik açıklarının ciddiyeti nedeniyle şirket, kullanım ömrünün sonuna gelmiş sürümler için de bir yama sağladı: ESXi 6.7 (6.7U3u), 6.5 (6.5U3v) ve VCF 3.x.
Yamalar hemen dağıtılamıyorsa USB denetleyicilerinin VM'den çıkarılmasını içeren bir geçici çözüm vardır. Bu önlem, sanal makine konsolunun işlevselliğini etkileyebileceğinden geçici olmalıdır.
“Bu, geniş ölçekte mümkün olmayabilir ve desteklenen bazı işletim sistemleri, sanal konsol aracılığıyla klavye ve fare erişimi için USB gerektirir (vCenter Server veya ESXi aracılığıyla ancak Uzak Masaüstü'nü etkilemez). Ayrıca USB geçişi gibi bazı işlevleri de kaybedebilirsiniz” dediler.
“Bununla birlikte, çoğu Windows ve Linux sürümü sanal PS/2 fare ve klavyenin kullanımını destekliyor ve VMware'in yayınladığı güvenlik güçlendirme kılavuzunun bir parçası olarak USB denetleyicileri gibi gereksiz aygıtların kaldırılması tavsiye ediliyor.”
VMware vSphere'in bir parçası olarak VMware Workstation, VMware Fusion ve/veya VMware ESXi'yi kurmuş olan müşteriler de bu durumdan etkilenmektedir ve vSphere 7 veya 8'e yükseltme yapmaları gerekmektedir.
Son zamanlarda VMware, yöneticileri, kimlik doğrulama geçişi ve oturum ele geçirme saldırıları düzenlemek için saldırganlar tarafından kullanılabilecek (kullanımdan kaldırılmış) savunmasız bir vSphere eklentisini kaldırmaya çağırdı.