Les bugs d'échappement de VMware Sandbox sont si critiques que des correctifs sont publiés pour les produits en fin de vie


VMware exhorte ses clients à corriger les vulnérabilités critiques qui permettent aux pirates informatiques de briser les protections du bac à sable et de l'hyperviseur dans toutes les versions, y compris celles non prises en charge, des produits VMware ESXi, Workstation, Fusion et Cloud Foundation.

Une constellation de quatre vulnérabilités (dont deux avec un indice de gravité de 9,3 sur 10 possibles) sont graves car elles compromettent l'objectif fondamental des produits VMware, qui consiste à exécuter des opérations sensibles au sein d'une machine virtuelle segmentée de la machine hôte. Les responsables de VMware ont déclaré que la perspective d'une évasion de l'hyperviseur justifiait une réponse immédiate dans le cadre de la bibliothèque d'infrastructure informatique de l'entreprise, un processus généralement abrégé en ITIL.

« Changement d’urgence »

« En termes ITIL, cette situation est considérée comme un changement d'urgence, nécessitant une action rapide de la part de votre organisation », ont écrit les responsables dans un message. « Cependant, la réponse de sécurité appropriée varie en fonction des circonstances spécifiques. »

Parmi les circonstances spécifiques, l’une concerne le produit vulnérable qu’un client utilise, et une autre est de savoir si et comment il peut être placé derrière un pare-feu. Un avis VMware comprenait la matrice suivante montrant comment les vulnérabilités (identifiées comme CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255) affectent chacun des produits vulnérables :

Produit Version Continuer à fonctionner Identifiant CVE CVSSv3 Gravité Version fixe [1] Solutions de contournement Documentation supplémentaire
ESXi 8.0 N'importe lequel CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255 8.4, 8.4, 7.9, 7.1 critique ESXi80U2sb-23305545 KB96682 FAQ
ESXi 8.0 [2] N'importe lequel CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255 8.4, 8.4, 7.9, 7.1 critique ESXi80U1d-23299997 KB96682 FAQ
ESXi 7.0 N'importe lequel CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255 8.4, 8.4, 7.9, 7.1 critique ESXi70U3p-23307199 KB96682 FAQ
Poste de travail 17.x N'importe lequel CVE-2024-22252, CVE-2024-22253, CVE-2024-22255 9.3, 9.3, 7.1 critique 17.5.1 KB96682 Aucun.
La fusion 13.x MacOS CVE-2024-22252, CVE-2024-22253, CVE-2024-22255 9.3, 9.3, 7.1 critique 13.5.1 KB96682 Aucun

Trois des vulnérabilités affectent le contrôleur USB que les produits utilisent pour prendre en charge les périphériques tels que les claviers et les souris. L'avis décrit les vulnérabilités comme suit :

CVE-2024-22252 : une vulnérabilité d'utilisation après libération dans le contrôleur USB XHCI avec une plage de gravité maximale de 9,3 pour Workstation/Fusion et un score de base de 8,4 pour ESXi. Une personne disposant de privilèges d'administrateur local sur une machine virtuelle peut exécuter du code en tant que processus VMX de la machine virtuelle exécuté sur l'hôte. Sur ESXi, l'exploitation est contenue dans le bac à sable VMX, alors que, sur Workstation et Fusion, cela pourrait conduire à l'exécution de code sur la machine sur laquelle Workstation ou Fusion est installé.

CVE-2024-22253 : une vulnérabilité d'utilisation après libération dans le contrôleur USB UHCI avec un indice de gravité maximum de 9,3 pour Workstation/Fusion et un score de base de 8,4 pour ESXi. Les exigences et les résultats d’exploitation sont les mêmes que pour CVE-2024-22252.

CVE-2024-22254 : une vulnérabilité d’écriture hors limites avec un score de base de gravité maximum de 7,9. Cette vulnérabilité permet à une personne disposant de privilèges au sein du processus VMX de déclencher une écriture hors limites, conduisant à une évasion du bac à sable.

CVE-2024-22255 : une vulnérabilité de divulgation d'informations dans le contrôleur USB UHCI avec un score de base CVSSv3 maximum de 7,1. Une personne disposant d'un accès administratif à une machine virtuelle peut l'exploiter pour fuir la mémoire du processus vmx.

Broadcom, la société mère de VMware, exhorte ses clients à mettre à jour les produits vulnérables. Pour contourner le problème, les utilisateurs peuvent supprimer les contrôleurs USB des machines virtuelles vulnérables, mais Broadcom a souligné que cette mesure pourrait dégrader la fonctionnalité de la console virtuelle et ne devrait être considérée que comme une solution temporaire. Dans un article expliquant comment retirer un contrôleur USB, les responsables ont écrit :

La solution de contournement consiste à supprimer tous les contrôleurs USB de la machine virtuelle. Par conséquent, la fonctionnalité de relais USB ne sera pas disponible.

De plus, les périphériques USB virtuels/émulés, tels que la clé USB virtuelle ou le dongle VMware, ne pourront pas être utilisés par la machine virtuelle. En revanche, le clavier/la souris par défaut en tant que périphériques d'entrée ne sont pas affectés car, par défaut, ils ne sont pas connectés via le protocole USB mais disposent d'un pilote qui émule les périphériques logiciels dans le système d'exploitation invité.

IMPORTANT:
Certains systèmes d'exploitation invités, notamment Mac OS, ne prennent pas en charge l'utilisation d'une souris et d'un clavier PS/2. Ces systèmes d'exploitation invités se retrouveront sans souris ni clavier sans contrôleur USB.

VMware a déclaré n'avoir connaissance d'aucune preuve que l'une des vulnérabilités soit activement exploitée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*