פגיעות אבטחה בדירוג חשוב ב-VMware Tools עלולה לסלול את הדרך להסלמה של הרשאות מקומיות (LPE) והשתלטות מלאה על מכונות וירטואליות המכילות נתונים ארגוניים חשובים, פרטי משתמש ואישורים ויישומים.
VMware Tools הוא קבוצה של שירותים ומודולים המאפשרים מספר תכונות במוצרי VMware המשמשים לניהול אינטראקציות של משתמשים עם מערכות הפעלה אורחות (Guest OS). מערכת הפעלה אורחת הוא המנוע שמפעיל מכונה וירטואלית.
"שחקן זדוני עם גישה מקומית לא-ניהולית למערכת ההפעלה האורח יכול להסלים את ההרשאות כמשתמש שורש במכונה הווירטואלית", על פי ייעוץ האבטחה של VMware, שפורסם השבוע, שציין כי הבאג, עוקב כמו CVE-2022-31676, נושאת דירוג של 7.0 מתוך 10 בסולם הפגיעות-חומרת CVSS.
נתיבי ניצול יכולים ללבוש צורות רבות, לדברי מייק פרקין, מהנדס טכני בכיר בוולקן סייבר.
"מההפצה לא ברור אם היא דורשת גישה דרך ממשק המסוף הווירטואלי של VMware או שמשתמש עם צורה כלשהי של גישה מרחוק למערכת ההפעלה האורח, כגון RDP ב-Windows או גישת מעטפת עבור לינוקס, עלול לנצל את הפגיעות", הוא אומר Dark Reading. "הגישה למערכת ההפעלה אורח צריכה להיות מוגבלת, אך ישנם מקרי שימוש רבים הדורשים כניסה למכונה וירטואלית כמשתמש מקומי."
הוירטואוז הווירטואוז תיקן את הבעיה, עם פרטי גרסת תיקון זמינים בהתראת האבטחה. אין דרכים לעקיפת הבעיה, לכן מנהלי מערכת צריכים להחיל את העדכון כדי למנוע פשרה.
הבעיה, אף שאינה קריטית, עדיין צריכה להיות מתוקנת בהקדם האפשרי, פרקין מזהירה: "אפילו עם העברת ענן, VMware נותרה מרכיב עיקרי בווירטואליזציה בסביבות ארגוניות רבות, מה שהופך כל פגיעות של הסלמה של הרשאות לבעייתית."
כדי לפקח על פשרה, ג'ון במבנק, צייד האיומים הראשי ב-Netenrich, ממליץ לפרוס ניתוח התנהגותי כדי לזהות ניצול לרעה של אישורים, כמו גם תוכנית איומים פנימיים לאיתור עובדים בעייתיים שעלולים לנצל לרעה את הגישה הלגיטימית שלהם ממילא.
"מערכות VMWare (ומערכות קשורות) מנהלות את המערכות הפריבילגיות ביותר, והתפשרות עליהן היא מכפיל כוח עבור גורמי איומים", הוא אומר.
התיקון מגיע על עקבי הגילוי של א באג קריטי מוקדם יותר החודש שיאפשר מעקף אימות עבור יישומי VMware מקומיים, כדי לתת לתוקפים גישה מקומית ראשונית ויכולת לנצל פרצות LPE כמו זו.
