یک آسیبپذیری امنیتی با رتبه مهم در ابزارهای VMware میتواند راه را برای افزایش امتیازات محلی (LPE) و تصاحب کامل ماشینهای مجازی که دادههای مهم شرکت، اطلاعات کاربر و اعتبارنامهها و برنامهها را در خود جای میدهند، هموار کند.
ابزارهای VMware مجموعهای از خدمات و ماژولها هستند که چندین ویژگی را در محصولات VMware فعال میکنند که برای مدیریت تعاملات کاربر با سیستمعاملهای مهمان (سیستم عامل مهمان) استفاده میشوند. سیستم عامل مهمان موتوری است که یک ماشین مجازی را نیرو می دهد.
بر اساس توصیه امنیتی VMware که در این هفته منتشر شد، یک عامل مخرب با دسترسی غیر اداری محلی به سیستم عامل مهمان میتواند امتیازات خود را به عنوان یک کاربر ریشه در ماشین مجازی افزایش دهد. CVE-2022-31676، دارای امتیاز 7.0 از 10 در مقیاس آسیب پذیری-شدت CVSS است.
به گفته مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، مسیرهای بهره برداری می توانند اشکال مختلفی داشته باشند.
او گفت: «از انتشار مشخص نیست که آیا به دسترسی از طریق رابط کنسول مجازی VMware نیاز دارد یا اینکه کاربری با نوعی دسترسی از راه دور به سیستم عامل مهمان، مانند RDP در ویندوز یا دسترسی پوسته برای لینوکس، میتواند از این آسیبپذیری سوء استفاده کند. به Dark Reading می گوید. "دسترسی به سیستم عامل مهمان باید محدود باشد، اما موارد استفاده زیادی وجود دارد که نیاز به ورود به یک ماشین مجازی به عنوان یک کاربر محلی دارد."
کارشناس مجازی سازی این مشکل را اصلاح کرده است و جزئیات نسخه وصله شده در هشدار امنیتی موجود است. هیچ راه حلی برای این نقص وجود ندارد، بنابراین مدیران باید برای جلوگیری از سازش، به روز رسانی را اعمال کنند.
پارکین هشدار میدهد که اگرچه مهم نیست، اما باید در اسرع وقت وصله شود: «حتی با مهاجرت ابری، VMware یکی از اصلیترین بخشهای مجازیسازی در بسیاری از محیطهای سازمانی است که هر گونه آسیبپذیری افزایش امتیاز را مشکلساز میکند».
برای نظارت بر مصالحه، جان بامبنک، شکارچی اصلی تهدید در Netenrich، استفاده از تجزیه و تحلیل رفتاری را برای شناسایی سوء استفاده از اعتبار، و همچنین یک برنامه تهدید داخلی برای شناسایی کارمندان مشکلی که ممکن است از دسترسی قانونی خود سوء استفاده کنند، توصیه میکند.
او میگوید: «سیستمهای VMWare (و مربوط به آن) ممتازترین سیستمها را مدیریت میکنند و به خطر انداختن آنها یک افزایش دهنده نیرو برای بازیگران تهدید است.
وصله می آید در پاشنه از افشای یک اشکال مهم در اوایل این ماه، امکان دور زدن احراز هویت برای پیادهسازیهای VMware در محل، به مهاجمان دسترسی محلی اولیه و توانایی سوء استفاده از آسیبپذیریهای LPE مانند این امکان را میدهد.