Krytyczne błędy w oprogramowaniu do wirtualizacji VMware

Mowa o jednej krytycznej (CVE-2023-20869) i trzech ważnych (CVE-2023-20870, CVE-2023-20871, CVE-2023-20872) lukach w oprogramowaniach do wirtualizacji VMware Workstation i VMware Fusion – najczęściej używanych. Luki dotyczą wersji VMware Workstation Pro v17.x i VMware Fusion v13.x.

Przypominamy, że w zeszłym tygodniu VMware załatał dwie luki w swoich VMware Aria Operations for Logs.

Szczegóły na temat błędów VMware

Jak wyjaśnia firma:

• CVE-2023-20869 (oceniana na 9.3 w skali CVSSv3) to krytyczna luka w zabezpieczeniach polegająca na przepełnieniu bufora stosu w funkcji udostępniania hosta Bluetooth maszynie wirtualnej, co umożliwia złośliwemu aktorowi z lokalnymi uprawnieniami administracyjnymi na uruchomienie kodu w kontekście uprawnień procesu VMX maszyny wirtualnej działającej na hoście (komputerze).
• CVE-2023-20870 (oceniana na 7.1 w skali CVSSv3) to luka w zabezpieczeniach umożliwiająca odczyt poza zakresem, która występuje w tej samej funkcjonalności i może umożliwić złośliwemu aktorowi z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej odczytanie uprzywilejowanych informacji zawartych w pamięci hiperwizora.
• CVE-2023-20871 (oceniana na 7.3 w skali CVSSv3) – luka w zabezpieczeniach umożliwiająca eskalację uprawnień lokalnych – dotyczy tylko VMware Fusion i może pozwolić złośliwemu aktorowi z dostępem do odczytu/zapisu do systemu operacyjnego hosta na uzyskanie uprawnień administratora.
• CVE-2023-20872 (oceniana na 7.7 w skali CVSSv3) to luka w zabezpieczeniach umożliwiająca odczyt/zapis poza zakresem w emulacji urządzenia CD/DVD SCSI, która może umożliwić złośliwemu aktorowi wykonanie kodu na hiperwizorze z maszyny wirtualnej. Aby go wykorzystać, osoba atakująca musi mieć dostęp do maszyny wirtualnej z podłączonym fizycznym napędem CD/DVD i skonfigurowanym do korzystania z wirtualnego kontrolera SCSI.

CVE-2023-20869 i CVE-2023-20870 zostały wspólnie wykorzystane przez badaczy STAR Labs w marcu, trzeciego dnia konkursu hakerskiego Pwn2Own 2023, który odbył się w Vancouver.

Obie luki zostały zgłoszone firmie VMware za pośrednictwem programu Zero Day Initiative firmy Trend Micro (organizatorów konkursu Pwn2Own). Zero Day Initiative generalnie ujawnia szczegóły techniczne błędów wykorzystanych w Pwn2Own 90 dni po turnieju.

Pozostałe dwa zostały zgłoszone bezpośrednio do VMware przez badaczy, którzy je odkryli.

Jak sobie poradzić z problemem?

Administratorzy aplikacji powinni zaktualizować je do poprawionych wersji:

• VMware Workstation Pro 17.0.2
• VMware Fusion 13.0.2

Dostępne są także obejścia luk (z wyjątkiem CVE-2023-20871):

• dla CVE-2023-20869 i CVE-2023-20870 – należy wyłączyć obsługę Bluetooth na maszynie wirtualnej,
• dla CVE-2023-20872 – należy usunąć urządzenie CD/DVD z maszyny wirtualnej lub skonfigurować maszynę wirtualną tak, aby nie korzystała z kontrolera SCSI.