Des failles si graves que l’entreprise a ressenti le besoin de mettre à jour l’hyperviseur ESXi, désormais abandonné.
Paume faciale : Les hyperviseurs de VM sont conçus pour isoler un système d’exploitation invité de l’hôte. Rien ne devrait échapper à l’environnement isolé de la VM, mais les pirates peuvent théoriquement exploiter ces failles de sécurité récemment découvertes dans les produits VMware pour y parvenir.
VMware a publié un nouvel avis de sécurité traitant de quatre vulnérabilités critiques découvertes dans ses produits de virtualisation. Ces vulnérabilités présentent un risque d’évasion de l’environnement autonome d’une machine virtuelle, permettant potentiellement des actions malveillantes sur le système hôte. Des mises à jour et des correctifs sont déjà disponibles, y compris pour les produits que Broadcom, le nouveau propriétaire de VMware, a décidé d’abandonner.
Selon l’avis de VMware, les failles de sécurité affectent ESXi, Workstation Pro/Player, Fusion Pro/Fusion et Cloud Foundation. Broadcom a récemment confirmé l’arrêt d’ESXi, un hyperviseur gratuit de type 1 développé pour les passionnés de homelab, mais la prise en charge des produits payants est toujours disponible jusqu’à la fin des obligations contractuelles.
Les failles individuelles d’ESXi décrites dans l’avis ont un niveau de gravité « important », comme l’indique VMware. Cependant, des pirates informatiques expérimentés pourraient les combiner pour obtenir un impact « critique » sur les produits vulnérables. Le problème initial est une vulnérabilité d’utilisation après libération trouvée dans le contrôleur USB XHCI de VMware (CVE-2024-22252), un bug qu’un acteur malveillant disposant des privilèges d’administrateur de VM local pourrait exploiter pour exécuter du code pendant que le processus VMX s’exécute sur l’hôte. Sur les hyperviseurs de bureau Workstation et Fusion (type 2), cette exploitation pourrait entraîner l’exécution de code sur le système d’exploitation hôte.
Le deuxième problème est une vulnérabilité d’utilisation après libération dans le contrôleur USB UHCI de VMware (CVE-2024-22253). Les cybercriminels pourraient exploiter le bug pour obtenir exactement les mêmes résultats que CVE-2024-22252, avec l’exécution de code malveillant sur l’hôte. La troisième faille est une vulnérabilité d’écriture hors limites dans ESXi (CVE-2024-22254), un problème « important » qui peut déclencher une fuite du bac à sable.
Enfin, une vulnérabilité de divulgation d’informations dans le contrôleur USB UHCI (CVE-2024-22255) pourrait être exploitée pour divulguer le contenu de la mémoire du processus VMX en dehors de la machine virtuelle. VMware a déjà publié des correctifs et des versions mises à jour de ses outils VM pour résoudre correctement les quatre bugs de sécurité découverts par les experts en sécurité.
Si les mises à jour ne peuvent pas être installées immédiatement, la société fournit également des instructions pour une solution de contournement efficace qui rendrait inutile l’exploitation des vulnérabilités. Les utilisateurs et les administrateurs système peuvent supprimer tous les contrôleurs USB de leurs machines virtuelles, désactivant ainsi la fonctionnalité de relais USB de la VM. Cependant, les systèmes d’exploitation invités qui ne prennent pas en charge les pilotes de souris et de clavier PS/2 (comme macOS) se retrouveraient également sans saisie de souris ou de clavier.
