VMware đã phát hành các bản vá để khắc phục bốn lỗ hổng bảo mật ảnh hưởng đến ESXi, Workstation và Fusion, bao gồm hai lỗ hổng quan trọng có thể dẫn đến việc thực thi mã.
Được theo dõi dưới mã định danh là CVE-2024-22252 và CVE-2024-22253, những lỗ hổng đã được mô tả là các lỗi use-after-free trong bộ điều khiển USB XHCI. Chúng có điểm số CVSS là 9.3 cho Workstation và Fusion, và 8.4 cho hệ thống ESXi.
Công ty thông báo: “Một kẻ tấn công độc hại có đặc quyền quản trị cục bộ trên một máy ảo có thể lợi dụng vấn đề này để thực thi mã như quá trình VMX của máy ảo chạy trên máy chủ”.
“Trên ESXi, việc khai thác được giữ trong sandbox VMX trong khi trên Workstation và Fusion, điều này có thể dẫn đến việc thực thi mã trên máy mà Workstation hoặc Fusion được cài đặt.”
Nhiều nhà nghiên cứu bảo mật thuộc Ant Group Light-Year Security Lab và QiAnXin đã được ghi nhận đã phát hiện và báo cáo CVE-2024-22252 một cách độc lập. Những nhà nghiên cứu bảo mật VictorV và Wei đã được công nhận đã báo cáo CVE-2024-22253.
Có hai lỗ hổng được vá bởi nhà cung cấp dịch vụ ảo hóa thuộc sở hữu của Broadcom:
- CVE-2024-22254 (điểm CVSS: 7.9): Một lỗ hổng ghi ra khỏi phạm vi trong ESXi mà một kẻ tấn công độc hại có đặc quyền trong quá trình VMX có thể tận dụng để kích hoạt việc thoát khỏi sandbox.
- CVE-2024-22255 (điểm CVSS: 7.1): Một lỗ hổng tiết lộ thông tin trong bộ điều khiển USB UHCI mà một kẻ tấn công có quyền truy cập quản trị vào máy ảo có thể tận dụng để rò rỉ bộ nhớ từ quá trình vmx. Các vấn đề đã được giải quyết trong các phiên bản sau đây, bao gồm cả những phiên bản đã đạt đến cuối vòng đời (EoL) do mức độ nghiêm trọng của các vấn đề này:
- ESXi 6.5 – 6.5U3v
- ESXi 6.7 – 6.7U3u
- ESXi 7.0 – ESXi70U3p-23307199
- ESXi 8.0 – ESXi80U2sb-23305545 and ESXi80U1d-23299997
- VMware Cloud Foundation (VCF) 3.x
- Workstation 17.x – 17.5.1
- Fusion 13.x (macOS) – 13.5.1
Như một biện pháp tạm thời cho đến khi một bản vá được triển khai, khách hàng đã được yêu cầu loại bỏ tất cả các bộ điều khiển USB khỏi máy ảo.
Công ty cho biết: “Ngoài các thiết bị USB ảo/vi mô, như USB ảo hoặc USB dongle của VMware, sẽ không có sẵn để sử dụng bởi máy ảo. Ngược lại, bàn phím/chuột mặc định như thiết bị đầu vào không bị ảnh hưởng vì chúng, theo mặc định, không được kết nối thông qua giao thức USB mà có một trình điều khiển thực hiện giả mô thiết bị trong hệ điều hành khách.”