اشکال VMware LPE به مهاجمان سایبری اجازه می دهد تا از داده های ماشین مجازی لذت ببرند

یک آسیب‌پذیری امنیتی با رتبه مهم در ابزارهای VMware می‌تواند راه را برای افزایش امتیازات محلی (LPE) و تصاحب کامل ماشین‌های مجازی که داده‌های مهم شرکت، اطلاعات کاربر و اعتبارنامه‌ها و برنامه‌ها را در خود جای می‌دهند، هموار کند.

ابزارهای VMware مجموعه‌ای از خدمات و ماژول‌ها هستند که چندین ویژگی را در محصولات VMware فعال می‌کنند که برای مدیریت تعاملات کاربر با سیستم‌عامل‌های مهمان (سیستم عامل مهمان) استفاده می‌شوند. سیستم عامل مهمان موتوری است که یک ماشین مجازی را نیرو می دهد.

بر اساس توصیه امنیتی VMware که در این هفته منتشر شد، یک عامل مخرب با دسترسی غیر اداری محلی به سیستم عامل مهمان می‌تواند امتیازات خود را به عنوان یک کاربر ریشه در ماشین مجازی افزایش دهد. CVE-2022-31676، دارای امتیاز 7.0 از 10 در مقیاس آسیب پذیری-شدت CVSS است.

به گفته مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، مسیرهای بهره برداری می توانند اشکال مختلفی داشته باشند.

او گفت: «از انتشار مشخص نیست که آیا به دسترسی از طریق رابط کنسول مجازی VMware نیاز دارد یا اینکه کاربری با نوعی دسترسی از راه دور به سیستم عامل مهمان، مانند RDP در ویندوز یا دسترسی پوسته برای لینوکس، می‌تواند از این آسیب‌پذیری سوء استفاده کند. به Dark Reading می گوید. "دسترسی به سیستم عامل مهمان باید محدود باشد، اما موارد استفاده زیادی وجود دارد که نیاز به ورود به یک ماشین مجازی به عنوان یک کاربر محلی دارد."

کارشناس مجازی سازی این مشکل را اصلاح کرده است و جزئیات نسخه وصله شده در هشدار امنیتی موجود است. هیچ راه حلی برای این نقص وجود ندارد، بنابراین مدیران باید برای جلوگیری از سازش، به روز رسانی را اعمال کنند.

پارکین هشدار می‌دهد که اگرچه مهم نیست، اما باید در اسرع وقت وصله شود: «حتی با مهاجرت ابری، VMware یکی از اصلی‌ترین بخش‌های مجازی‌سازی در بسیاری از محیط‌های سازمانی است که هر گونه آسیب‌پذیری افزایش امتیاز را مشکل‌ساز می‌کند».

برای نظارت بر مصالحه، جان بامبنک، شکارچی اصلی تهدید در Netenrich، استفاده از تجزیه و تحلیل رفتاری را برای شناسایی سوء استفاده از اعتبار، و همچنین یک برنامه تهدید داخلی برای شناسایی کارمندان مشکلی که ممکن است از دسترسی قانونی خود سوء استفاده کنند، توصیه می‌کند.

او می‌گوید: «سیستم‌های VMWare (و مربوط به آن) ممتازترین سیستم‌ها را مدیریت می‌کنند و به خطر انداختن آن‌ها یک افزایش دهنده نیرو برای بازیگران تهدید است.

وصله می آید در پاشنه از افشای یک اشکال مهم در اوایل این ماه، امکان دور زدن احراز هویت برای پیاده‌سازی‌های VMware در محل، به مهاجمان دسترسی محلی اولیه و توانایی سوء استفاده از آسیب‌پذیری‌های LPE مانند این امکان را می‌دهد.