
VMware a publié des mises à jour de sécurité pour corriger les vulnérabilités critiques d’échappement du bac à sable dans les produits VMware ESXi, Workstation, Fusion et Cloud Foundation, permettant aux attaquants d’échapper aux machines virtuelles et d’accéder au système d’exploitation hôte.
Ces types de failles sont critiques car ils pourraient permettre aux attaquants d’obtenir un accès non autorisé au système hôte sur lequel un hyperviseur est installé ou d’accéder à d’autres machines virtuelles exécutées sur le même hôte, violant ainsi leur isolement.
L’avis décrit quatre vulnérabilités, suivies comme CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 et CVE-2024-22255, avec des scores CVSS v3 allant de 7,1 à 9,3, mais toutes avec un indice de gravité critique.
Les quatre défauts peuvent être résumés comme suit:
CVE-2024-22252 et CVE-2024-22253: Utilisez-après des bogues gratuits dans les contrôleurs USB XHCI et UHCI (respectivement), affectant Workstation / Fusion et ESXi. L’exploitation nécessite des privilèges administratifs locaux sur une machine virtuelle et pourrait permettre à un attaquant d’exécuter du code en tant que processus VMX de la machine virtuelle sur l’hôte. Sur Workstation et Fusion, cela pourrait entraîner l’exécution de code sur la machine hôte.
CVE-2024-22254: Faille d’écriture hors limites dans ESXi, permettant à un attaquant disposant des privilèges de processus VMX d’écrire en dehors de la région mémoire prédéterminée (limites), entraînant potentiellement une fuite de bac à sable.
CVE-2024 – 22255: Problème de divulgation d’informations dans le contrôleur USB UHCI affectant ESXi, Workstation et Fusion. Cette vulnérabilité pourrait permettre à un acteur malveillant disposant d’un accès administratif à une machine virtuelle de fuir la mémoire du processus VMX.
Les produits de version impactés et les versions corrigées sont répertoriés dans le tableau ci-dessous:

Une solution de contournement pratique pour atténuer CVE-2024 – 22252, CVE-2024-22253 et CVE-2024-22255 consiste à supprimer les contrôleurs USB des machines virtuelles en suivant les instructions fournies par le fournisseur. Notez que cela peut avoir un impact sur la connectivité du clavier, de la souris et de la clé USB dans certaines configurations.
Il convient de noter que VMware a mis à disposition des correctifs de sécurité pour les anciennes versions d’ESXi (6.7U3u), 6.5 (6.5U3v) et VCF 3.x en raison de la gravité des vulnérabilités.
Enfin, le fournisseur a publié une FAQ pour accompagner le bulletin, soulignant l’importance d’appliquer rapidement des correctifs et de fournir des conseils sur la planification des réponses et la mise en œuvre de solutions de contournement/correctifs pour des produits et des configurations spécifiques.
VMware n’a ni observé ni reçu de rapports indiquant une exploitation active des quatre failles. Il est recommandé aux administrateurs système de s’abonner à la liste de diffusion des machines virtuelles pour des alertes proactives en cas de changement de statut d’exploitation.