Kerentanan keamanan dengan peringkat penting di VMware Tools dapat membuka jalan bagi local privilege escalation (LPE) dan pengambilalihan total mesin virtual yang menyimpan data penting perusahaan, info dan kredensial pengguna, serta aplikasi.
VMware Tools adalah sekumpulan layanan dan modul yang mengaktifkan beberapa fitur dalam produk VMware yang digunakan untuk mengelola interaksi pengguna dengan sistem operasi tamu (OS Tamu). OS tamu adalah mesin yang menggerakkan mesin virtual.
“Aktor jahat dengan akses non-administratif lokal ke OS Tamu dapat meningkatkan hak istimewa sebagai pengguna root di mesin virtual,” menurut penasehat keamanan VMware, yang dikeluarkan minggu ini, yang mencatat bahwa bug tersebut, dilacak sebagai CVE-2022-31676, membawa peringkat 7.0 dari 10 pada skala kerentanan-keparahan CVSS.
Jalur eksploitasi dapat mengambil banyak bentuk, menurut Mike Parkin, insinyur teknis senior di Vulcan Cyber.
“Tidak jelas dari rilis apakah memerlukan akses melalui antarmuka konsol virtual VMware atau apakah pengguna dengan beberapa bentuk akses jarak jauh ke OS Tamu, seperti RDP di Windows atau akses shell untuk Linux, dapat mengeksploitasi kerentanan tersebut,” dia menceritakan Dark Reading. “Akses ke Guest OS harus dibatasi, tetapi ada banyak kasus penggunaan yang memerlukan masuk ke mesin virtual sebagai pengguna lokal.”
Ahli virtualisasi telah menambal masalah ini, dengan detail versi yang ditambal tersedia di peringatan keamanan. Tidak ada solusi untuk cacat tersebut, jadi admin harus menerapkan pembaruan untuk menghindari kompromi.
Masalahnya, meskipun tidak kritis, masih harus ditambal sesegera mungkin, Parkin memperingatkan: "Bahkan dengan migrasi cloud, VMware tetap menjadi pokok virtualisasi di banyak lingkungan perusahaan, yang membuat kerentanan eskalasi hak istimewa apa pun bermasalah."
Untuk memantau kompromi, John Bambenek, pemburu ancaman utama di Netenrich, merekomendasikan penggunaan analitik perilaku untuk mendeteksi penyalahgunaan kredensial, serta program ancaman orang dalam untuk mendeteksi karyawan bermasalah yang mungkin menyalahgunakan akses mereka yang sudah sah.
“Sistem VMWare (dan yang terkait) mengelola sistem yang paling diistimewakan, dan mengkompromikannya merupakan pengganda kekuatan bagi pelaku ancaman,” ujarnya.
Tambalan itu muncul setelah pengungkapan a bug kritis awal bulan ini yang akan memungkinkan bypass otentikasi untuk implementasi VMware lokal, untuk memberikan akses lokal awal kepada penyerang dan kemampuan untuk mengeksploitasi kerentanan LPE seperti ini.
