Menu dostępności

Krytyczne błędy w oprogramowaniu do wirtualizacji VMware

Krytyczne błędy w oprogramowaniu do wirtualizacji VMware

Aktualizujcie aplikację VMware! Producent naprawia krytyczne błędy w oprogramowaniu do wirtualizacji (CVE-2023-20869, CVE-2023-20870,2023-20871, CVE-2023-20872).

Mowa o jednej krytycznej (CVE-2023-20869) i trzech ważnych (CVE-2023-20870, CVE-2023-20871, CVE-2023-20872) lukach w oprogramowaniach do wirtualizacji VMware Workstation i VMware Fusion – najczęściej używanych. Luki dotyczą wersji VMware Workstation Pro v17.x i VMware Fusion v13.x.

Przypominamy, że w zeszłym tygodniu VMware załatał dwie luki w swoich VMware Aria Operations for Logs.

Szczegóły na temat błędów VMware

Jak wyjaśnia firma:

  • CVE-2023-20869 (oceniana na 9.3 w skali CVSSv3) to krytyczna luka w zabezpieczeniach polegająca na przepełnieniu bufora stosu w funkcji udostępniania hosta Bluetooth maszynie wirtualnej, co umożliwia złośliwemu aktorowi z lokalnymi uprawnieniami administracyjnymi na uruchomienie kodu w kontekście uprawnień procesu VMX maszyny wirtualnej działającej na hoście (komputerze).
  • CVE-2023-20870 (oceniana na 7.1 w skali CVSSv3) to luka w zabezpieczeniach umożliwiająca odczyt poza zakresem, która występuje w tej samej funkcjonalności i może umożliwić złośliwemu aktorowi z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej odczytanie uprzywilejowanych informacji zawartych w pamięci hiperwizora.
  • CVE-2023-20871 (oceniana na 7.3 w skali CVSSv3) – luka w zabezpieczeniach umożliwiająca eskalację uprawnień lokalnych – dotyczy tylko VMware Fusion i może pozwolić złośliwemu aktorowi z dostępem do odczytu/zapisu do systemu operacyjnego hosta na uzyskanie uprawnień administratora.
  • CVE-2023-20872 (oceniana na 7.7 w skali CVSSv3) to luka w zabezpieczeniach umożliwiająca odczyt/zapis poza zakresem w emulacji urządzenia CD/DVD SCSI, która może umożliwić złośliwemu aktorowi wykonanie kodu na hiperwizorze z maszyny wirtualnej. Aby go wykorzystać, osoba atakująca musi mieć dostęp do maszyny wirtualnej z podłączonym fizycznym napędem CD/DVD i skonfigurowanym do korzystania z wirtualnego kontrolera SCSI.

CVE-2023-20869 i CVE-2023-20870 zostały wspólnie wykorzystane przez badaczy STAR Labs w marcu, trzeciego dnia konkursu hakerskiego Pwn2Own 2023, który odbył się w Vancouver.

Obie luki zostały zgłoszone firmie VMware za pośrednictwem programu Zero Day Initiative firmy Trend Micro (organizatorów konkursu Pwn2Own). Zero Day Initiative generalnie ujawnia szczegóły techniczne błędów wykorzystanych w Pwn2Own 90 dni po turnieju.

Pozostałe dwa zostały zgłoszone bezpośrednio do VMware przez badaczy, którzy je odkryli.

Jak sobie poradzić z problemem?

Administratorzy aplikacji powinni zaktualizować je do poprawionych wersji:

  • VMware Workstation Pro 17.0.2
  • VMware Fusion 13.0.2

Dostępne są także obejścia luk (z wyjątkiem CVE-2023-20871):

  • dla CVE-2023-20869 i CVE-2023-20870 – należy wyłączyć obsługę Bluetooth na maszynie wirtualnej,
  • dla CVE-2023-20872 – należy usunąć urządzenie CD/DVD z maszyny wirtualnej lub skonfigurować maszynę wirtualną tak, aby nie korzystała z kontrolera SCSI.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...