Il colosso della virtualizzazione VMware martedì ha rilasciato aggiornamenti di emergenza per risolvere tre problemi di sicurezza.
Uno di questi include un errore di uscita dalla macchina virtuale dimostrato al concorso di hacking GeekPwn 2022 ospitato dal Tencent Keen Security Lab cinese.
La vulnerabilità di virtual machine escape, documentata come CVE-2022-31705, è stata sfruttata dal ricercatore di Ant Security Yuhao Jiang su sistemi che eseguono prodotti VMware Fusion, ESXi e Workstation con patch complete.
VMware ha descritto il bug come una vulnerabilità di scrittura out-of-heap nel controller USB 2.0 (EHCI). L’exploit ha vinto il primo premio su Geekpwn.
Secondo il bollettino, VMWare gli ha assegnato un punteggio CVSS di 9.3 e allerta che un utente malintenzionato con privilegi amministrativi locali sulla VM potrebbe sfruttare questo problema per eseguire del codice.
Su ESXi, l’exploit è contenuto in una sandbox VMX, mentre su Workstation e Fusion può provocare un RCE sulla macchina su cui è installato Workstation o Fusion.
VM escape è il processo di un programma che esce dalla macchina virtuale su cui è in esecuzione e interagisce con il sistema operativo host.
La società ha rilasciato correzioni che correggono i bug di command injection e directory traversal che interessano VMware vRealize Network Insight (vRNI).
Anche la vulnerabilità nell’API REST vRNI è classificata da VMware come critica con un punteggio CVSSv3 di base di 9,8 perché un utente malintenzionato con accesso alla rete l’API REST vRNI, può potenzialmente eseguire comandi senza autenticazione.
