VMware Toolsi oluline turvahaavatavus võib sillutada teed kohalike privileegide eskalatsioonile (LPE) ja virtuaalmasinate täielikule ülevõtmisele, mis sisaldavad olulisi ettevõtte andmeid, kasutajateavet ja mandaate ning rakendusi.
VMware Tools on teenuste ja moodulite komplekt, mis võimaldavad VMware toodetes mitmeid funktsioone, mida kasutatakse kasutajate suhtluse haldamiseks külalisoperatsioonisüsteemidega (külalis-OS). Külaline OS on mootor, mis toidab virtuaalset masinat.
"Pahatahtlik toimija, kellel on kohalik mitteadministratiivne juurdepääs külaliste operatsioonisüsteemile, võib virtuaalmasinas juurkasutaja õigusi eskaleerida," selgub VMware sel nädalal avaldatud turvanõuandest, milles märgiti, et viga, mida jälgiti CVE-2022-31676, kannab CVSS-i haavatavuse-raskusastme skaalal hinnangut 7.0 10-st.
Vulcan Cyberi vanemtehnilise inseneri Mike Parkini sõnul võivad kasutusviisid esineda mitmel kujul.
"Väljalaskest jääb selgusetuks, kas see nõuab juurdepääsu VMware virtuaalse konsooli liidese kaudu või kas kasutaja, kellel on külaliste OS-ile mingi kaugjuurdepääs, näiteks Windowsi RDP või Linuxi shelljuurdepääs, võib haavatavust ära kasutada," ütles ta. räägib Dark Reading. "Juurdepääs külaliste operatsioonisüsteemile peaks olema piiratud, kuid on palju kasutusjuhtumeid, mis nõuavad virtuaalsesse masinasse kohaliku kasutajana sisselogimist."
Virtuoos on probleemi parandanud ja turvahoiatuses on saadaval paigatud versiooni üksikasjad. Veale pole lahendusi, seega peaksid administraatorid kompromisside vältimiseks värskenduse rakendama.
Kuigi probleem pole kriitiline, tuleks see siiski võimalikult kiiresti parandada, hoiatab Parkin: "Isegi pilve migratsiooni korral jääb VMware paljudes ettevõtte keskkondades virtualiseerimise põhielemendiks, mis muudab igasuguse privileegide suurendamise haavatavuse problemaatiliseks."
Kompromissi jälgimiseks soovitab Netenrichi peamine ohtude otsija John Bambenek kasutada mandaadi kuritarvitamise tuvastamiseks käitumisanalüütikat, samuti siseringi ohuprogrammi, et tuvastada probleemsed töötajad, kes võivad kuritarvitada oma juba seaduslikku juurdepääsu.
"VMWare'i (ja sellega seotud) süsteemid haldavad kõige privilegeeritud süsteeme ja nende kompromiteerimine on ohus osalejate jaoks jõudu kordistav," ütleb ta.
Plaaster tuleb kandadele avalikustamise a kriitiline viga selle kuu alguses, mis võimaldaks kohapealsete VMware juurutuste autentimisest mööda minna, et anda ründajatele esmane kohalik juurdepääs ja võimalus kasutada ära selliseid LPE haavatavusi nagu käesolev.
