VMware hat am Dienstag mehrere hochgefährliche Schwachstellen in ESXi, Workstation, Fusion, Cloud Foundation und NSX Data Center für vSphere gepatcht, die zur Ausführung von beliebigem Code und zu einem Denial-of-Service (DoS)-Zustand ausgenutzt werden können.
Zum Zeitpunkt der Erstellung dieses Artikels gibt es keine Hinweise darauf, dass eine der Schwachstellen in freier Wildbahn ausgenutzt wird. Die Liste der sechs Schwachstellen ist wie folgt
CVE-2021-22040 (CVSS-Score: 8.4) – Use-after-free-Schwachstelle im XHCI USB-Controller
(CVSS-Score: 8.4) – Use-after-free-Schwachstelle im XHCI-USB-Controller CVE-2021-22041 (CVSS-Score: 8.4) – Double-fetch-Schwachstelle im UHCI-USB-Controller
(CVSS-Score: 8.4) – Double-Fetch-Schwachstelle im UHCI-USB-Controller CVE-2021-22042 (CVSS-Score: 8.2) – Schwachstelle in den ESXi-Einstellungen und unberechtigter Zugriff
(CVSS score: 8.2) – ESXi settingsd unauthorized access vulnerability CVE-2021-22043 (CVSS score: 8.2) – ESXi settingsd TOCTOU vulnerability
(CVSS score: 8.2) – ESXi settingsd TOCTOU Schwachstelle CVE-2021-22050 (CVSS score: 5.3) – ESXi slow HTTP POST Denial-of-Service Schwachstelle
(CVSS-Score: 5.3) – ESXi slow HTTP POST denial-of-service Schwachstelle CVE-2022-22945 (CVSS-Score: 8.8) – CLI shell injection Schwachstelle in der NSX Edge Appliance Komponente
Wenn die Schwachstellen erfolgreich ausgenutzt werden, kann ein böswilliger Akteur mit lokalen administrativen Rechten auf einer virtuellen Maschine Code als VMX-Prozess der virtuellen Maschine auf dem Host ausführen. Außerdem könnte ein Angreifer mit Zugriff auf settingsd seine Privilegien ausweiten, indem er beliebige Dateien schreibt.
Außerdem könnte CVE-2021-22050 von einem Angreifer mit Netzwerkzugriff auf ESXi ausgenutzt werden, um einen DoS-Zustand zu erzeugen, indem er den rhttpproxy-Dienst mit mehreren Anfragen überlastet. Zu guter Letzt könnte CVE-2022-22945 es einem Angreifer mit SSH-Zugang zu einer NSX-Edge-Appliance (NSX-V) ermöglichen, als Root-Benutzer beliebige Befehle auf dem Betriebssystem auszuführen.
Mehrere der Schwachstellen wurden ursprünglich im Rahmen des Tianfu Cups entdeckt, der letztes Jahr in China stattfand. Der Anbieter von Virtualisierungsdiensten arbeitete mit den Organisatoren des Wettbewerbs zusammen, um die Ergebnisse zu überprüfen und die Informationen privat zu erhalten.
„Die Auswirkungen dieser Schwachstelle sind schwerwiegend, vor allem wenn Angreifer Zugang zu Workloads in Ihren Umgebungen haben“, so VMware in einer separaten FAQ. „Organisationen, die Änderungsmanagement nach den ITIL-Definitionen für Änderungsarten betreiben, würden dies als ‚Notfalländerung‘ betrachten.“