VMware Tools’daki önemli bir güvenlik açığı, yerel ayrıcalık yükseltmenin (LPE) yolunu açabilir ve önemli kurumsal verileri, kullanıcı bilgilerini ve kimlik bilgilerini ve uygulamaları barındıran sanal makinelerin tamamen devralınmasını sağlayabilir.
VMware Tools, konuk işletim sistemleriyle (Konuk İşletim Sistemi) kullanıcı etkileşimlerini yönetmek için kullanılan VMware ürünlerinde çeşitli özellikleri etkinleştiren bir dizi hizmet ve modüldür. Konuk İşletim Sistemi sanal bir makineye güç sağlayan motordur.
VMware’in bu hafta yayınlanan güvenlik danışma belgesine göre, “Konuk işletim sistemine yerel yönetimsel olmayan erişimi olan kötü niyetli bir aktör, sanal makinede bir kök kullanıcı olarak ayrıcalıkları yükseltebilir.” CVE-2022-31676CVSS güvenlik açığı-önem ölçeğinde 10 üzerinden 7,0 puana sahiptir.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin’e göre, sömürü yolları birçok şekilde olabilir.
“Bu sürümden, VMware sanal konsol arabirimi aracılığıyla erişim gerektirip gerektirmediği veya Windows’ta RDP veya Linux için kabuk erişimi gibi Konuk İşletim Sistemine bir tür uzaktan erişimi olan bir kullanıcının bu güvenlik açığından yararlanıp yararlanamayacağı net değil” dedi. Dark Reading’i anlatıyor. “Konuk İşletim Sistemine erişim sınırlı olmalıdır, ancak yerel bir kullanıcı olarak sanal bir makinede oturum açmayı gerektiren birçok kullanım durumu vardır.”
Sanallaştırma virtüözü, güvenlik uyarısında bulunan yamalı sürüm ayrıntılarıyla sorunu düzeltti. Kusur için herhangi bir geçici çözüm yoktur, bu nedenle yöneticiler, uzlaşmayı önlemek için güncellemeyi uygulamalıdır.
Sorun, kritik olmasa da, yine de mümkün olan en kısa sürede yamalanmalıdır, diye uyarıyor Parkin: “Buluta geçişte bile, VMware birçok kurumsal ortamda sanallaştırmanın temel unsuru olmaya devam ediyor ve bu da herhangi bir ayrıcalık yükseltme güvenlik açığını sorunlu hale getiriyor.”
Netenrich’teki başlıca tehdit avcısı John Bambinek, uzlaşmayı izlemek için, kimlik bilgilerinin kötüye kullanımını tespit etmek için davranışsal analitiğin yanı sıra zaten meşru erişimlerini kötüye kullanabilecek sorunlu çalışanları tespit etmek için bir içeriden tehdit programı kullanılmasını tavsiye ediyor.
“VMWare (ve ilgili) sistemler en ayrıcalıklı sistemleri yönetiyor ve bunlardan ödün vermek, tehdit aktörleri için bir güç çarpanıdır” diyor.
Yama, bu ayın başlarında, şirket içi VMware uygulamaları için kimlik doğrulama atlamasına izin verecek, saldırganlara ilk yerel erişim ve bunun gibi LPE güvenlik açıklarından yararlanma yeteneği verecek kritik bir hatanın açıklanmasının hemen ardından geliyor.
