VMware a publié des correctifs pour corriger quatre failles de sécurité affectant ESXi, Workstation et Fusion, dont deux failles critiques pouvant conduire à l’exécution de code.
Suivi comme CVE-2024-22252 et CVE-2024-22253, les vulnérabilités ont été décrites comme des bogues d’utilisation après libération dans le contrôleur USB XHCI. Ils affichent un score CVSS de 9,3 pour Workstation et Fusion et de 8,4 pour les systèmes ESXi.
« Un acteur malveillant disposant de privilèges administratifs locaux sur une machine virtuelle peut exploiter ce problème pour exécuter du code alors que le processus VMX de la machine virtuelle s’exécute sur l’hôte », explique la société. dit dans un nouvel avis.
« Sur ESXi, l’exploitation est contenue dans le bac à sable VMX alors que, sur Workstation et Fusion, cela peut conduire à l’exécution de code sur la machine sur laquelle Workstation ou Fusion est installé. »
Plusieurs chercheurs en sécurité associés au laboratoire de sécurité Ant Group Light-Year et à QiAnXin ont été reconnus pour avoir découvert et signalé de manière indépendante CVE-2024-22252. Les chercheurs en sécurité VictorV et Wei ont été reconnus pour avoir signalé CVE-2024-22253.
Le fournisseur de services de virtualisation appartenant à Broadcom a également corrigé deux autres lacunes :
- CVE-2024-22254 (score CVSS : 7,9) – Une vulnérabilité d’écriture hors limites dans ESXi qu’un acteur malveillant disposant de privilèges au sein du processus VMX pourrait exploiter pour déclencher une évasion du bac à sable.
- CVE-2024-22255 (score CVSS : 7,1) – Une vulnérabilité de divulgation d’informations dans le contrôleur USB UHCI qu’un attaquant disposant d’un accès administratif à une machine virtuelle peut exploiter pour fuir la mémoire du processus vmx.
Les problèmes ont été résolus dans les versions suivantes, y compris celles qui ont atteint la fin de vie (EoL) en raison de la gravité de ces problèmes :
En guise de solution temporaire jusqu’à ce qu’un correctif puisse être déployé, il a été demandé aux clients de supprimer tous les contrôleurs USB de la machine virtuelle.
« De plus, les périphériques USB virtuels/émulés, tels que les clés USB ou les dongles virtuels VMware, ne pourront pas être utilisés par la machine virtuelle », indique la société. dit. « En revanche, le clavier/la souris par défaut en tant que périphériques d’entrée ne sont pas affectés car, par défaut, ils ne sont pas connectés via le protocole USB mais disposent d’un pilote qui émule les périphériques logiciels dans le système d’exploitation invité. »