Το VMware LPE Bug επιτρέπει στους κυβερνοεπιτιθέμενους να διασκεδάζουν με δεδομένα εικονικής μηχανής

Μια σημαντική ευπάθεια ασφαλείας στο VMware Tools θα μπορούσε να ανοίξει το δρόμο για την κλιμάκωση των τοπικών προνομίων (LPE) και την πλήρη εξαγορά εικονικών μηχανών που φιλοξενούν σημαντικά εταιρικά δεδομένα, πληροφορίες χρήστη και διαπιστευτήρια και εφαρμογές.

Τα Εργαλεία VMware είναι ένα σύνολο υπηρεσιών και λειτουργικών μονάδων που ενεργοποιούν διάφορες λειτουργίες σε προϊόντα VMware που χρησιμοποιούνται για τη διαχείριση των αλληλεπιδράσεων των χρηστών με τα λειτουργικά συστήματα φιλοξενουμένων (Guest OS). Guest OS είναι η μηχανή που τροφοδοτεί μια εικονική μηχανή.

"Ένας κακόβουλος παράγοντας με τοπική μη διαχειριστική πρόσβαση στο Guest OS μπορεί να κλιμακώσει τα προνόμια ως χρήστης root στην εικονική μηχανή", σύμφωνα με το συμβουλευτικό όργανο ασφαλείας της VMware, που εκδόθηκε αυτήν την εβδομάδα, το οποίο σημείωσε ότι το σφάλμα παρακολουθείται ως CVE-2022-31676, φέρει βαθμολογία 7.0 στα 10 στην κλίμακα ευπάθειας-σοβαρότητας CVSS.

Τα μονοπάτια εκμετάλλευσης θα μπορούσαν να λάβουν πολλές μορφές, σύμφωνα με τον Mike Parkin, ανώτερο τεχνικό μηχανικό της Vulcan Cyber.

«Δεν είναι σαφές από την κυκλοφορία εάν απαιτεί πρόσβαση μέσω της διεπαφής εικονικής κονσόλας VMware ή εάν ένας χρήστης με κάποια μορφή απομακρυσμένης πρόσβασης στο Guest OS, όπως RDP στα Windows ή πρόσβαση φλοιού για Linux, θα μπορούσε να εκμεταλλευτεί την ευπάθεια», είπε. λέει στο Dark Reading. "Η πρόσβαση στο Guest OS θα πρέπει να είναι περιορισμένη, αλλά υπάρχουν πολλές περιπτώσεις χρήσης που απαιτούν τη σύνδεση σε μια εικονική μηχανή ως τοπικός χρήστης."

Ο βιρτουόζος της εικονικοποίησης έχει επιδιορθώσει το ζήτημα, με τις λεπτομέρειες της ενημερωμένης έκδοσης διαθέσιμες στην ειδοποίηση ασφαλείας. Δεν υπάρχουν λύσεις για το ελάττωμα, επομένως οι διαχειριστές θα πρέπει να εφαρμόσουν την ενημέρωση για να αποφύγουν τον συμβιβασμό.

Το ζήτημα, αν και δεν είναι κρίσιμο, θα πρέπει να επιδιορθωθεί το συντομότερο δυνατό, προειδοποιεί ο Parkin: «Ακόμη και με τη μετεγκατάσταση στο cloud, το VMware παραμένει βασικό στοιχείο εικονικοποίησης σε πολλά εταιρικά περιβάλλοντα, γεγονός που καθιστά προβληματική οποιαδήποτε ευπάθεια κλιμάκωσης προνομίων».

Για την παρακολούθηση για συμβιβασμούς, ο John Bambenek, κύριος κυνηγός απειλών στη Netenrich, συνιστά την ανάπτυξη αναλυτικών στοιχείων συμπεριφοράς για τον εντοπισμό κατάχρησης διαπιστευτηρίων, καθώς και ένα πρόγραμμα απειλών εσωτερικών πληροφοριών για τον εντοπισμό προβληματικών υπαλλήλων που ενδέχεται να κάνουν κατάχρηση της ήδη νόμιμης πρόσβασής τους.

«Τα συστήματα VMWare (και τα σχετικά) διαχειρίζονται τα πιο προνομιακά συστήματα και ο συμβιβασμός τους είναι ένας πολλαπλασιαστής δύναμης για τους παράγοντες απειλών», λέει.

Το έμπλαστρο έρχεται μετά την αποκάλυψη του α κρίσιμο σφάλμα νωρίτερα αυτόν τον μήνα που θα επέτρεπε την παράκαμψη ελέγχου ταυτότητας για εφαρμογές VMware εντός εγκατάστασης, για να δώσει στους εισβολείς αρχική τοπική πρόσβαση και τη δυνατότητα να εκμεταλλευτούν ευπάθειες LPE όπως αυτή.