A VMware lançou atualizações de segurança para corrigir vulnerabilidades críticas de fuga de sandbox nos produtos hipervisor ESXi, Workstation, Fusion e Cloud Foundation, permitindo que invasores “escapem” de máquinas virtuais e acessem o sistema operacional host.
A fuga da sandbox refere-se à exploração uma vulnerabilidade de software para sair de um ambiente seguro ou em quarentena, geralmente chamado de sandbox. Um invasor pode usar a fuga de sandbox para executar código malicioso no sistema host, acessar dados confidenciais ou causar outros tipos de danos.
Esse tipo de falha é crítico porque pode permitir que invasores obtenham acesso não autorizado ao sistema host onde um hipervisor está instalado ou acessem outras máquinas virtuais em execução no mesmo host, violando seu isolamento.
O comunicado da VMware descreve quatro vulnerabilidades, rastreadas como CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 e CVE-2024-22255, com escores variando de 7.1 a 9.3 no sistema de pontuação comum de vulnerabilidades (CVSS), mas todas com uma classificação de gravidade crítica.
As quatro falhas podem ser resumidas da seguinte forma:
• CVE-2024-22252 e CVE-2024-22253: bugs livres de uso nos controladores USB XHCI e UHCI (respectivamente), afetando Workstation/Fusion e ESXi. A exploração requer privilégios administrativos locais em uma máquina virtual e pode permitir que um invasor execute código como o processo VMX da VM no host. No Workstation e no Fusion, isso pode levar à execução de código na máquina host.
• CVE-2024-22254: falha de gravação fora dos limites no ESXi, permitindo que um invasor com privilégios de processo VMX grave fora da região de memória pré-determinada (limites), potencialmente levando ao escape do sandbox.
• CVE-2024-22255: Problema de divulgação de informações no controlador USB UHCI afetando ESXi, Workstation e Fusion. Esta vulnerabilidade pode permitir que um agente mal-intencionado com acesso administrativo a uma VM vaze memória do processo VMX.
Veja isso
Versão Linux do ransomware Qilin se concentra no VMware ESXi
Hipervisores ESXi em risco, alerta relatório da Mandiant
Uma solução prática para mitigar CVE-2024-22252, CVE-2024-22253 e CVE-2024-22255 é remover os controladores USB das máquinas virtuais seguindo as instruções fornecidas pelo fornecedor. Observe que isso pode afetar a conectividade do teclado, mouse e pendrive em algumas configurações.
Vale ressaltar que a VMware disponibilizou correções de segurança para versões mais antigas do ESXi (6.7U3u), 6.5 (6.5U3v) e VCF 3.x devido à gravidade das vulnerabilidades. Por fim, ela publicou uma FAQ para acompanhar o boletim, enfatizando a importância da aplicação imediata de patches e fornecendo orientação sobre planejamento de resposta e implementação de soluções alternativas/correções para produtos e configurações específicas.
Para ter acesso ao relatório completo da VMware sobre as vulnerabilidades (em inglês) clique aqui.