Durante l’ultimo Pwn2Own 2019, i ricercatori Amat Cama e Richard Zhu del team Fluoroacetate sono riusciti a compromettere una macchina virtuale basata su VMware Workstation per eseguire codice arbitrario sul sistema operativo host sottostante (e per questo hanno anche visto un premio di 70.000 dollari).
Un hack che è valso ai due ricercatori un premio da 70.000 dollari e ha spinto VMware a rilasciare in tempi rapidi le patch per le cinque vulnerabilità individuate in vCloud Director, ESXi, Workstation e Fusion. Prodotti, questi, molto utilizzati in ambienti cloud.
In particolare, risultano variamente affette da queste vulnerabilità le seguenti versioni dei prodotti VMware:
- ESXi 6.7
- ESXi 6.5
- ESXi 6.0
- Workstation 15.x su tutte le piattaforme supportate
- Workstation 14.x su tutte le piattaforme supportate
- Fusion 11.x su macOS
- Fusion 10.x su macOS
Se le vulnerabilità dovessero essere realmente utilizzate in un contesto produttivo, il rischio è che un attaccante potrebbe utilizzare una macchina virtuale come backbone di molti servizi cloud per avviare l’esecuzione di codice JavaScript sulla macchina host e prenderne il controllo.
In alternativa, secondo i ricercatori VMware lo sfruttamento delle vulnerabilità potrebbe portare ad un attacco di tipo Denial of Service (DoS) con evidenti conseguenze sulla stabilità delle macchine virtuali in esecuzione sul sistema host.
Aggiornamenti di sicurezza VMware: i dettagli tecnici
Analizzando il bollettino di sicurezza VMware si scopre che una prima vulnerabilità critica, identificate come CVE-2019-5518, riguarda l’interfaccia USB 1.1 Universal Host Controller Interface (UHCI) virtuale e sarebbe causata da una errata gestione del processo di lettura e scrittura dei dati.
La stessa interfaccia di input/output sarebbe inoltre affetta da un’altra vulnerabilità (identificata come CVE-2019-5519) di tipo Time-of-check Time-of-use (TOCTOU) che è quella che consente ad un attaccate di sfruttare un’API per eseguire codice arbitrario sulla macchina host.
Entrambe le vulnerabilità critiche interessano i prodotti VMware ESXi e Workstation in esecuzione su tutti i sistemi operativi Windows, Linux e macOS, e Fusion in esecuzione sui sistemi macOS.
Una terza vulnerabilità, questa volta di tipo out-of-bounds in scrittura e identificata come CVE-2019-5524, colpisce la scheda di rete virtuale e1000 utilizzata da VMware Workstation nelle versioni per Windows, Linux e macOS e Fusion nelle versioni per macOS.
VMware ha rilasciato anche la patch per una quarta vulnerabilità critica in Fusion 11.x in esecuzione su macOS e identificata come CVE-2019-5514 che interessa proprio le API per la gestione della sicurezza del prodotto.
Infine, è stata individuata una vulnerabilità, sempre di tipo out-of-bounds, classificata come importante e identificata come CVE-2019-5515 che interessa le scede di rete virtuali e1000 ed e1000e su VMware Workstation nelle versioni per Windows, Linux e macOS e Fusion nelle versioni per macOS.
Installiamo gli aggiornamenti
È importante, ovviamente, effettuare il prima possibile l’aggiornamento dei prodotti VMware.
Per farlo, è sufficiente scaricare le patch e le versioni aggiornate indicate di seguito e installarle seguendo le indicazioni fornite da VMware:
- ESXi 6.7: applicare la patch ESXi670-201903001 (documentazione);
- ESXi 6.5: applicare la patch ESXi650-201903001 (documentazione)
- ESXi 6.0: applicare la patch ESXi600-201903001 (documentazione)
- VMware Workstation Pro 14.1.6, 14.1.7, 15.0.3, 15.0.4: installare l’ultima versione (documentazione)
- VMware Workstation Player 14.1.6, 14.1.7, 15.0.3, 15.0.4: installare l’ultima versione (documentazione)
- VMware Fusion Pro / Fusion 10.1.6, 11.0.3: installare l’ultima versione (documentazione)
