Aktualizujcie aplikację VMware! Producent naprawia krytyczne błędy w oprogramowaniu do wirtualizacji (CVE-2023-20869, CVE-2023-20870,2023-20871, CVE-2023-20872).
Mowa o jednej krytycznej (CVE-2023-20869) i trzech ważnych (CVE-2023-20870, CVE-2023-20871, CVE-2023-20872) lukach w oprogramowaniach do wirtualizacji VMware Workstation i VMware Fusion – najczęściej używanych. Luki dotyczą wersji VMware Workstation Pro v17.x i VMware Fusion v13.x.
Przypominamy, że w zeszłym tygodniu VMware załatał dwie luki w swoich VMware Aria Operations for Logs.
Szczegóły na temat błędów VMware
Jak wyjaśnia firma:
- CVE-2023-20869 (oceniana na 9.3 w skali CVSSv3) to krytyczna luka w zabezpieczeniach polegająca na przepełnieniu bufora stosu w funkcji udostępniania hosta Bluetooth maszynie wirtualnej, co umożliwia złośliwemu aktorowi z lokalnymi uprawnieniami administracyjnymi na uruchomienie kodu w kontekście uprawnień procesu VMX maszyny wirtualnej działającej na hoście (komputerze).
- CVE-2023-20870 (oceniana na 7.1 w skali CVSSv3) to luka w zabezpieczeniach umożliwiająca odczyt poza zakresem, która występuje w tej samej funkcjonalności i może umożliwić złośliwemu aktorowi z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej odczytanie uprzywilejowanych informacji zawartych w pamięci hiperwizora.
- CVE-2023-20871 (oceniana na 7.3 w skali CVSSv3) – luka w zabezpieczeniach umożliwiająca eskalację uprawnień lokalnych – dotyczy tylko VMware Fusion i może pozwolić złośliwemu aktorowi z dostępem do odczytu/zapisu do systemu operacyjnego hosta na uzyskanie uprawnień administratora.
- CVE-2023-20872 (oceniana na 7.7 w skali CVSSv3) to luka w zabezpieczeniach umożliwiająca odczyt/zapis poza zakresem w emulacji urządzenia CD/DVD SCSI, która może umożliwić złośliwemu aktorowi wykonanie kodu na hiperwizorze z maszyny wirtualnej. Aby go wykorzystać, osoba atakująca musi mieć dostęp do maszyny wirtualnej z podłączonym fizycznym napędem CD/DVD i skonfigurowanym do korzystania z wirtualnego kontrolera SCSI.
CVE-2023-20869 i CVE-2023-20870 zostały wspólnie wykorzystane przez badaczy STAR Labs w marcu, trzeciego dnia konkursu hakerskiego Pwn2Own 2023, który odbył się w Vancouver.
Obie luki zostały zgłoszone firmie VMware za pośrednictwem programu Zero Day Initiative firmy Trend Micro (organizatorów konkursu Pwn2Own). Zero Day Initiative generalnie ujawnia szczegóły techniczne błędów wykorzystanych w Pwn2Own 90 dni po turnieju.
Pozostałe dwa zostały zgłoszone bezpośrednio do VMware przez badaczy, którzy je odkryli.
Jak sobie poradzić z problemem?
Administratorzy aplikacji powinni zaktualizować je do poprawionych wersji:
- VMware Workstation Pro 17.0.2
- VMware Fusion 13.0.2
Dostępne są także obejścia luk (z wyjątkiem CVE-2023-20871):
- dla CVE-2023-20869 i CVE-2023-20870 – należy wyłączyć obsługę Bluetooth na maszynie wirtualnej,
- dla CVE-2023-20872 – należy usunąć urządzenie CD/DVD z maszyny wirtualnej lub skonfigurować maszynę wirtualną tak, aby nie korzystała z kontrolera SCSI.