[08/03/2024] VMware señaló que se les informó de forma privada de varias vulnerabilidades en VMware ESXi, Workstation y Fusion. La empresa anota hay actualizaciones disponibles para corregir estas vulnerabilidades en los productos de VMware afectados.
Las vulnerabilidades individuales documentadas en este VMSA para ESXi tienen una gravedad importante, pero la combinación de estos problemas dará como resultado una gravedad crítica. Las vulnerabilidades han sido etiquetadas como CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255.
Los nuevos parches de seguridad lanzados esta semana abordan dos vulnerabilidades de memoria de uso posterior a la liberación en los controladores UHCI USB y XHCI USB: CVE-2024-22252 y CVE-2024-22253. Estos son los controladores virtualizados que permiten el uso de dispositivos USB dentro de las máquinas virtuales de VMware. Los defectos están calificados con 9.3 sobre 10 en la escala de gravedad CVSS.
"Un actor malicioso con privilegios administrativos locales en una máquina virtual puede explotar este problema para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host", señaló VMware en su aviso. "En ESXi, la explotación está contenida dentro del sandbox de VMX, mientras que, en Workstation y Fusion, esto puede llevar a la ejecución de código en la máquina donde está instalado Workstation o Fusion".
A pesar de que VMX está aislado en ESXi, esto no limita por completo el riesgo de ejecución remota de código debido a una tercera vulnerabilidad que podría permitir a los atacantes escapar del espacio aislado de VMX. Se trata de una vulnerabilidad de escritura fuera de los límites rastreada como CVE-2024-22254 y clasificada con una gravedad de 7,9.
También se ha parcheado una cuarta vulnerabilidad de divulgación de información (CVE-2024-22255) en el controlador USB UHCI. Esta falla se puede usar para perder memoria del proceso VMX y tiene una calificación de 7.1.
Adicionalmente, VMware también ha publicado una página con documentación adicional.
Franca Cavassa, CTOPerú