VMware herstelt ernstige beveiligingsfouten in werkstations en Fusion-producten

Er zijn meerdere beveiligingsfouten onthuld in VMware Workstation- en Fusion-producten die door bedreigingsactoren kunnen worden uitgebuit om toegang te krijgen tot gevoelige informatie, een Denial-of-Service (DoS)-toestand te activeren en onder bepaalde omstandigheden code uit te voeren.

De vier kwetsbaarheden zijn van invloed op Workstation-versies 17.x en Fusion-versies 13.x, met oplossingen beschikbaar in respectievelijk versie 17.5.2 en 13.5.2, aldus de virtualisatieserviceprovider van Broadcom.

Hieronder vindt u een korte beschrijving van elk van de tekortkomingen:

  • CVE-2024-22267 (CVSS-score: 9,3) – Een use-after-free kwetsbaarheid in het Bluetooth-apparaat die kan worden misbruikt door een kwaadwillende actor met lokale beheerdersrechten op een virtuele machine om code uit te voeren terwijl het VMX-proces van de virtuele machine op de host draait
  • CVE-2024-22268 (CVSS-score: 7,1) – Een heap buffer-overflow-kwetsbaarheid in de Shader-functionaliteit die kan worden uitgebuit door een kwaadwillende actor met niet-administratieve toegang tot een virtuele machine met 3D-graphics ingeschakeld om een ​​DoS-conditie te creëren
  • CVE-2024-22269 (CVSS-score: 7,1) – Een kwetsbaarheid voor het vrijgeven van informatie in het Bluetooth-apparaat die kan worden misbruikt door een kwaadwillende actor met lokale beheerdersrechten op een virtuele machine om bevoorrechte informatie in het hypervisorgeheugen van een virtuele machine te lezen
  • CVE-2024-22270 (CVSS-score: 7.1) – Een kwetsbaarheid voor het vrijgeven van informatie in de Host Guest File Sharing (HGFS)-functionaliteit die kan worden misbruikt door een kwaadwillende actor met lokale beheerdersrechten op een virtuele machine om bevoorrechte informatie in het hypervisorgeheugen van een virtuele machine te lezen

Als tijdelijke oplossing totdat de patches kunnen worden geïmplementeerd, wordt gebruikers geadviseerd de Bluetooth-ondersteuning op de virtuele machine uit te schakelen en de 3D-versnellingsfunctie uit te schakelen. Er zijn geen andere oplossingen voor CVE-2024-22270 dan het updaten naar de nieuwste versie.

Het is vermeldenswaard dat CVE-2024-22267, CVE-2024-22269 en CVE-2024-22270 oorspronkelijk werden gedemonstreerd door STAR Labs SG en Theori tijdens de Pwn2Own-hackwedstrijd die eerder deze maand in Vancouver werd gehouden.

Het advies komt ruim twee maanden nadat het bedrijf patches heeft uitgebracht om vier beveiligingsfouten aan te pakken die van invloed zijn op ESXi, Workstation en Fusion, waaronder twee kritieke fouten (CVE-2024-22252 en CVE-2024-22253, CVSS-scores: 9,3/8,4) die kan leiden tot het uitvoeren van code.

Thijs Van der Does