En kötü ikisi (CVE-2024-22252 ve 22253) VMware Workstation ve Fusion masaüstü hipervizörlerinde 9,3/10 ve ESXi sunucu hipervizöründe 8,4 olarak derecelendirildi.
Kusurlar, sanal bir makinede yerel yönetim ayrıcalıklarına sahip kötü niyetli bir aktörün, konuk dışında kod yürütmek için bu sorunu kullanabileceği anlamına geldiği için bu derecelendirmeleri kazandı. Workstation ve Fusion’da bu kod ana bilgisayarda veya Mac’te çalışacaktır. ESXi altında, her konuk VM’yi kapsayan VMX sürecinde çalışacak.
VMware, bir SSS bölümünde iki kusuru BT Altyapı Kitaplığı tarafından tanımlandığı şekilde acil durum değişikliği olarak değerlendirdi.
Başka bir güvenlik açığı olan CVE-2024-2225, 7,1 olarak derecelendirildi.
Kusurlara yönelik geçici çözümler, VMware’in amiral gemisi sunucu sanallaştırma platformunun artık desteklenmeyen bir sürümü olan vSphere 6.x için bile geçerli.
Yukarıda bahsedilen üç CVE için sorunun kaynağı sanal USB denetleyicileridir. VMware’in bu kusura yönelik geçici çözümü, bunları VM’lerden kaldırmak.
Ancak VMware’in SSS bölümünde, “desteklenen bazı işletim sistemleri, sanal konsol üzerinden klavye ve fare erişimi için USB gerektirdiğinden” bunu yapmanın “büyük ölçekte mümkün olmayabileceğini” kabul ediyor. USB geçiş işlevselliğinin kaybı başka bir istenmeyen sonuç olabilir.
SSS şunu ekliyor: “Bununla birlikte, çoğu Windows ve Linux sürümü sanal PS/2 fare ve klavyenin kullanımını desteklemektedir.” ve VMware’in yayınladığı güvenlik güçlendirme kılavuzunun bir parçası olarak USB denetleyicileri gibi gereksiz aygıtların kaldırılması tavsiye edilmektedir.
Daha da kötüsü, VMware ayrıca CVE-2024-22254’ü de tavsiye etti; bu güvenlik açığı, VMX işleminde ayrıcalıklara sahip kötü niyetli bir aktörün sınır dışı bir yazmayı tetikleyerek sanal alandan kaçmasına neden olabileceğini görebilir.
Konuk-Ana Bilgisayar kaçışları en kötü sanallaştırma olayıdır. Bunlar önemli görünüyor, ancak bir saldırganın VM filolarını kontrol etmesine olanak tanıyacak hipervizörün tamamen ele geçirilmesi için yeterli değil.
İlginçtir ki bazı kusurlar, 2023’teki Tianfu Kupası Pwn Yarışması’nda (Çin’deki Pwn2Own bilgi güvenliği saldırı festivalinin eşdeğeri) araştırmacılar tarafından keşfedildi.
VMware, yarışma katılımcılarına Alibaba’ya bağlı Team Ant Lab’den Jiang YuHao, Ying XingLei ve Zhang ZiMing’e ve Team CyberAgent’tan VictorV & Wei’ye teşekkür etti. Ayrıca Qi’anxin Group’taki TianGong Legendsec Ekibinden Jiaqing Huang ve Hao Zheng’e de bazı kusurları bağımsız olarak buldukları için teşekkür edildi.