Hypervízor má poskytovať nedotknuteľnú izolačnú vrstvu medzi virtuálnymi strojmi a hardvérom. VMware však včera odhalil, že jeho hypervízory nie sú tak zabezpečené, ako by ste chceli.

v Bezpečnostná konzultácia Obchodná jednotka Broadcomu varovala pred štyrmi nedostatkami.

Dva najhoršie – CVE-2024-22252 a 22253 – majú hodnotenie 9,3/10 na desktopových hypervízoroch VMware Workstation a Fusion a 8,4 na hypervízore ESXi Server.

Chyby dostali tieto hodnotenia, pretože znamenajú, že škodlivý aktér s miestnymi administrátorskými oprávneniami na virtuálnom počítači by mohol využiť tento problém na spustenie kódu mimo hosťa. V Workstation a Fusion sa tento kód spustí na hostiteľskom počítači alebo Macu. Pod ESXi bude bežať v procese VMX, ktorý zahŕňa každý hosťujúci VM.

v InštrukcieVMware klasifikoval oba defekty ako núdzovú zmenu, ako to definuje knižnica IT infraštruktúry.

Ďalší Vuln, CVE-2024-2225, má hodnotenie 7,1.

Riešenia chýb sa vzťahujú aj na vSphere 6.x – v súčasnosti nepodporovanú verziu hlavnej serverovej virtualizačnej platformy VMware.

Virtuálne radiče USB sú zdrojom problému pre tri bežné hrozby uvedené vyššie. VMware alternatívne riešenie Pretože chyba je odstránená z virtuálnych počítačov.

Často kladené otázky VMware však pripúšťajú, že to „nemusí byť realizovateľné vo veľkom rozsahu“, pretože „niektoré podporované operačné systémy vyžadujú USB na prístup z klávesnice a myši cez virtuálnu konzolu“. Ďalším nežiaducim dôsledkom môže byť strata funkčnosti prechodu cez USB.

„Väčšina verzií Windows a Linuxu však podporuje používanie virtuálnej myši a klávesnice PS/2,“ dodáva FAQ a odstránenie nepodstatných zariadení, ako sú radiče USB, sa odporúča ako súčasť smerníc na zvýšenie bezpečnosti zverejnených spoločnosťou VMware.

Aby toho nebolo málo, VMware tiež upozornil na CVE-2024-22254, chybu zabezpečenia pre zápis mimo hraníc, ktorá by mohla viesť k tomu, že škodlivý aktér s oprávneniami v rámci procesu VMX spustí zápis mimo hraníc, čo má za následok únik z karantény. .

Úniky hostiteľ-hosť sú najhorším prípadom virtualizácie. Zdá sa, že sú dôležité, ale nedosahujú úplné prevzatie hypervízorom, ktoré by útočníkovi umožnilo ovládať flotily virtuálnych strojov.

Zaujímavé je, že niektoré z nedostatkov objavili výskumníci v súťaži Tianfu Cup Pwn 2023 – čínskej obdobe festivalu útokov Pwn2Own infosec.

VMware poďakoval účastníkom súťaže Jiang YuHao, Ying XingLei a Zhang ZiMing z Team Ant Lab – dcérskej spoločnosti Alibaba – a VictorV & Wei z Team CyberAgent. Poďakovanie patrí aj Jiaqing Huangovi a Hao Zhengovi z tímu TianGong of Legendsec v skupine Qi'anxin, ktorí nezávisle na sebe objavili niektoré nedostatky. ®