.
Supõe-se que os hipervisores forneçam uma camada de isolamento inviolável entre máquinas virtuais e hardware. Mas o peso pesado do hipervisor VMware da Broadcom revelou ontem que seus hipervisores não são tão invioláveis quanto gostaria.
Num comunicado de segurança, a unidade de negócios da Broadcom alertou sobre quatro falhas.
Os dois piores – CVE-2024-22252 e 22253 – são classificados como 9,3/10 nos hipervisores de desktop VMware Workstation e Fusion e 8,4 no hipervisor de servidor ESXi.
As falhas ganharam essas classificações porque significam que um agente malicioso com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar código fora do convidado. No Workstation e no Fusion, esse código será executado no PC host ou Mac. No ESXi, ele será executado no processo VMX que encapsula cada VM convidada.
Em um FAQ, a VMware classificou as duas falhas como uma mudança emergencial, conforme definido pela IT Infrastructure Library.
Outra vulnerabilidade, CVE-2024-2225, é classificada como 7.1.
Soluções alternativas para as falhas se aplicam até mesmo ao vSphere 6.x – uma versão agora sem suporte da principal plataforma de virtualização de servidores da VMware.
Os controladores USB virtuais são a fonte do problema para os três CVEs mencionados acima. A solução alternativa da VMware para a falha é removê-los das VMs.
No entanto, o FAQ da VMware admite que isso “pode não ser viável em escala”, já que “alguns sistemas operacionais suportados exigem USB para acesso ao teclado e mouse através do console virtual”. A perda da funcionalidade de passagem USB pode ser outra consequência indesejada.
O FAQ acrescenta: “Dito isto, a maioria das versões do Windows e Linux suportam o uso do mouse e teclado PS/2 virtual”, e a remoção de dispositivos desnecessários, como controladores USB, é recomendada como parte da orientação de reforço de segurança que a VMware publica.
Para piorar a situação, a VMware também alertou sobre CVE-2024-22254 – uma vulnerabilidade de gravação fora dos limites que poderia fazer com que um ator mal-intencionado com privilégios dentro do processo VMX acionasse uma gravação fora dos limites, levando a uma fuga da sandbox.
As fugas convidado-host são o pior caso de incidente de virtualização. Estas parecem significativas, mas estão aquém das aquisições totais do hipervisor que permitiriam a um invasor controlar frotas de VMs.
Curiosamente, algumas das falhas foram descobertas por pesquisadores no Tianfu Cup Pwn Contest de 2023 – o equivalente chinês ao festival de ataques infosec Pwn2Own.
A VMware agradeceu aos participantes do concurso Jiang YuHao, Ying XingLei e Zhang ZiMing da Team Ant Lab – uma empresa afiliada ao Alibaba – e VictorV e Wei da Team CyberAgent. Também agradeceram Jiaqing Huang e Hao Zheng da equipe TianGong de Legendsec do Grupo Qi'anxin, pois encontraram algumas das falhas de forma independente. ®
.
