VMware LPE -virhe antaa kyberhyökkääjille mahdollisuuden nauttia virtuaalikoneen tiedoista

Tärkeäksi arvioitu VMware Toolsin tietoturvahaavoittuvuus voisi tasoittaa tietä paikallisille käyttöoikeuksien eskalaatiolle (LPE) ja virtuaalikoneiden täydelliselle haltuunotolle, joissa on tärkeitä yritystietoja, käyttäjätietoja ja tunnistetietoja sekä sovelluksia.

VMware Tools on joukko palveluita ja moduuleja, jotka mahdollistavat useita ominaisuuksia VMware-tuotteissa, joita käytetään käyttäjien vuorovaikutuksen hallintaan vieraskäyttöjärjestelmien (Guest OS) kanssa. Vieraskäyttöjärjestelmä on kone, joka käyttää virtuaalikonetta.

"Haitallinen toimija, jolla on paikallinen ei-järjestelmänvalvoja pääsy Vieraskäyttöjärjestelmään, voi laajentaa virtuaalikoneen pääkäyttäjän oikeuksia", VMwaren tällä viikolla julkaistun tietoturvatiedotteen mukaan, jossa todettiin, että bugi, jäljitetty CVE-2022-31676, sen luokitus on 7.0/10 CVSS:n haavoittuvuuden ja vakavuuden asteikolla.

Vulcan Cyberin vanhemman teknisen insinöörin Mike Parkinin mukaan hyödyntämispolut voivat olla erilaisia.

"Julkaisun perusteella on epäselvää, vaatiiko se pääsyn VMwaren virtuaalisen konsolin käyttöliittymän kautta vai voiko käyttäjä, jolla on jonkinlainen etäkäyttö vieraskäyttöjärjestelmään, kuten RDP Windowsissa tai shell-käyttö Linuxissa, hyödyntää haavoittuvuutta", hän kertoo Dark Reading. "Pääsyä vieraskäyttöjärjestelmään pitäisi olla rajoitettu, mutta monet käyttötapaukset edellyttävät kirjautumista virtuaalikoneeseen paikallisena käyttäjänä."

Virtuoosivirtuoosi on korjannut ongelman, ja korjatun version tiedot ovat saatavilla suojaushälytyksessä. Virheelle ei ole ratkaisua, joten järjestelmänvalvojien tulee asentaa päivitys kompromissien välttämiseksi.

Vaikka ongelma ei ole kriittinen, se pitäisi silti korjata niin pian kuin mahdollista, Parkin varoittaa: "Jopa pilvisiirron myötä VMware on edelleen virtualisoinnin peruselementti monissa yritysympäristöissä, mikä tekee kaikista oikeuksien eskaloitumisen haavoittuvuuksista ongelmallisia."

Netenrichin tärkein uhkien metsästäjä John Bambenek suosittelee ottamaan käyttöön käyttäytymisanalytiikkaa tunnistetietojen väärinkäytön havaitsemiseksi sekä sisäpiiriuhkaohjelman havaitsemiseksi ongelmalliset työntekijät, jotka saattavat väärinkäyttää jo laillista pääsyään.

"VMWare (ja niihin liittyvät) järjestelmät hallitsevat etuoikeutetuimpia järjestelmiä, ja niiden vaarantaminen on uhkatoimijoille voimankertoja", hän sanoo.

Laastari tulee a. paljastamisen jälkeen kriittinen vika aiemmin tässä kuussa, joka mahdollistaisi paikallisten VMware-toteutusten todennuksen ohituksen, jotta hyökkääjät saisivat alkuvaiheessa paikallisen pääsyn ja voivat hyödyntää tämän kaltaisia ​​LPE-haavoittuvuuksia.