VMware Tools의 중요 보안 취약점은 로컬 권한 상승(LPE) 및 중요한 기업 데이터, 사용자 정보 및 자격 증명, 애플리케이션이 들어 있는 가상 시스템의 완전한 인수를 위한 길을 열 수 있습니다.
VMware 도구는 게스트 운영 체제(게스트 OS)와의 사용자 상호 작용을 관리하는 데 사용되는 VMware 제품의 여러 기능을 활성화하는 서비스 및 모듈 세트입니다. 게스트 OS 가상 머신을 구동하는 엔진입니다.
이번 주에 발행된 VMware의 보안 권고에 따르면 "게스트 OS에 대한 관리 권한이 없는 로컬 액세스 권한이 있는 악의적인 행위자는 가상 머신의 루트 사용자 권한을 상승시킬 수 있습니다." CVE-2022-31676, CVSS 취약점 심각도 척도에서 7.0점 만점에 10점입니다.
Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin에 따르면 악용 경로는 다양한 형태를 취할 수 있습니다.
"VMware 가상 콘솔 인터페이스를 통한 액세스가 필요한지 또는 Windows의 RDP 또는 Linux의 셸 액세스와 같은 게스트 OS에 대한 일종의 원격 액세스가 있는 사용자가 취약점을 악용할 수 있는지 여부는 릴리스에서 명확하지 않습니다." 다크 리딩을 알려줍니다. "게스트 OS에 대한 액세스는 제한되어야 하지만 로컬 사용자로 가상 머신에 로그인해야 하는 사용 사례가 많습니다."
가상화 거장은 보안 경고에서 사용할 수 있는 패치된 버전 세부 정보와 함께 문제를 패치했습니다. 결함에 대한 해결 방법이 없으므로 관리자는 손상을 방지하기 위해 업데이트를 적용해야 합니다.
이 문제는 중요하지는 않지만 가능한 한 빨리 패치되어야 한다고 Parkin은 경고합니다.
침해를 모니터링하기 위해 Netenrich의 주요 위협 헌터인 John Bambinek은 자격 증명 남용을 탐지하는 행동 분석과 이미 합법적인 액세스를 남용할 수 있는 문제 직원을 탐지하는 내부 위협 프로그램을 배포할 것을 권장합니다.
"VMWare(및 관련) 시스템은 가장 권한이 높은 시스템을 관리하며, 이를 손상시키는 것은 위협 행위자에게 큰 힘이 됩니다."라고 그는 말합니다.
패치는 공개 직후에 나옵니다. 중요한 버그 이달 초 온프레미스 VMware 구현에 대한 인증 우회를 허용하여 공격자에게 초기 로컬 액세스 및 이와 같은 LPE 취약성을 악용할 수 있는 기능을 제공합니다.
