El gigante de la virtualización VMware publicó actualizaciones urgentes para corregir vulnerabilidades críticas de escape de sandbox ESXi en los productos ESXi, Workstation, Fusion y Cloud Foundation.
VMware, proveedor líder de software de virtualización, ha publicado parches de seguridad urgentes para una serie de vulnerabilidades críticas que afectan a múltiples productos, incluidos algunos que han llegado al final de su vida útil. Estos fallos podrían permitir a los atacantes salirse de las máquinas virtuales y ejecutar código en los sistemas anfitriones.
Las vulnerabilidades más graves pueden ser explotadas por un atacante con privilegios de administrador local en una máquina virtual para ejecutar código como proceso VMX de la máquina virtual que se ejecuta en el host, rompiendo su aislamiento.
El aviso describe cuatro vulnerabilidades, rastreadas como CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 y CVE-2024-22255, con puntuaciones CVSS v3 que oscilan entre 7,1 y 9,3, pero todas ellas con una calificación de gravedad crítica. Las vulnerabilidades se han descrito como fallos de uso después de la liberación en el controlador USB XHCI.
«Un actor malintencionado con privilegios administrativos locales en una máquina virtual puede aprovechar este problema para ejecutar código como proceso VMX de la máquina virtual que se ejecuta en el host», afirma la empresa en un nuevo aviso.
«En ESXi, la explotación está contenida dentro del sandbox VMX mientras que, en Workstation y Fusion, esto puede conducir a la ejecución de código en la máquina donde está instalado Workstation o Fusion».
Múltiples investigadores de seguridad asociados con el Ant Group Light-Year Security Lab y QiAnXin han sido acreditados por descubrir y reportar independientemente CVE-2024-22252. Los investigadores de seguridad VictorV y Wei han sido reconocidos por reportar CVE-2024-22253.
Acerca de las vulnerabilidades
Como se ha mencionado anteriormente, las vulnerabilidades se encuentran en los productos VMware ESXi, VMware Workstation Pro/Player, VMware Fusion Pro/Fusion y VMware Cloud Foundation. La mayoría afectan a los controladores USB, y combinadas pueden suponer un fallo con calificación «crítica». Las cuatro vulnerabilidades pueden resumirse de la siguiente manera:
- CVE-2024-22252: una vulnerabilidad de uso después de libre en el controlador USB XHCI con un rango de gravedad máxima de 9,3 para Workstation/Fusion y una puntuación base de 8,4 para ESXi. Alguien con privilegios administrativos locales en una máquina virtual puede ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. En ESXi, la explotación está contenida dentro de la caja de arena VMX, mientras que, en Workstation y Fusion, esto podría conducir a la ejecución de código en la máquina donde está instalado Workstation o Fusion.
- CVE-2024-22253: una vulnerabilidad de uso después de la liberación en el controlador USB UHCI con una calificación de gravedad máxima de 9,3 para Workstation/Fusion y una calificación base de 8,4 para ESXi. Los requisitos y resultados de la explotación son los mismos que para CVE-2024-22252.
- CVE-2024-22254: una vulnerabilidad de escritura fuera de los límites con una puntuación base de gravedad máxima de 7,9. Esta vulnerabilidad hace posible que alguien con privilegios dentro del proceso VMX desencadene una escritura fuera de los límites, lo que lleva a un escape de la caja de arena.
- CVE-2024-22255: una vulnerabilidad de divulgación de información en el controlador USB UHCI con una puntuación de base CVSSv3 máxima de 7,1. Alguien con acceso administrativo a una máquina virtual puede aprovecharla para filtrar memoria del proceso vmx.
Productos afectados
Los problemas se han solucionado en las siguientes versiones y equipos, incluidas las que han llegado al final de su ciclo de vida (EoL) debido a la gravedad de estos:
ESXi 6.5 – 6.5U3v
ESXi 6.7 – 6.7U3u
ESXi 7.0 – ESXi70U3p-23307199
ESXi 8.0 – ESXi80U2sb-23305545 y ESXi80U1d-23299997
VMware Cloud Foundation (VCF) 3.x
Workstation 17.x – 17.5.1
Fusion 13.x (macOS) – 13.5.1
Mecanismos de mitigación
VMware recomienda encarecidamente que los usuarios de los productos afectados apliquen los parches emitidos lo antes posible. Las organizaciones que no puedan aplicar inmediatamente los parches deberían considerar el aislamiento de los sistemas vulnerables como medida provisional de mitigación. Además, es una buena práctica revisar todos los controles de seguridad y planes de respuesta a incidentes en caso de compromiso.
Por otra parte, una solución práctica para mitigar CVE-2024-22252, CVE-2024-22253, y CVE-2024-22255 es quitar los controladores USB de las máquinas virtuales siguiendo las instrucciones proporcionadas por el proveedor. Tenga en cuenta que esto puede afectar a la conectividad del teclado, el ratón y la memoria USB en algunas configuraciones.
Cabe señalar que VMware ha puesto a disposición correcciones de seguridad para versiones anteriores de ESXi (6.7U3u), 6.5 (6.5U3v) y VCF 3.x debido a la gravedad de las vulnerabilidades. Por último, el fabricante ha publicado un documento de preguntas frecuentes que acompaña al boletín, en el que se subraya la importancia de la aplicación inmediata de parches y se ofrecen orientaciones sobre la planificación de la respuesta y la aplicación de soluciones para productos y configuraciones específicos.
VMware no ha observado ni recibido informes que indiquen una explotación activa de los cuatro fallos. Se recomienda a los administradores de sistemas que se suscriban a la lista de correo de VMSA para recibir alertas proactivas en caso de que cambie el estado de explotación.
Impacto potencial
Con estimaciones de VMware que sugieren que millones de organizaciones y todas las empresas de la lista Fortune 500 utilizan sus productos de virtualización, la popularidad de VMware hace que el reciente descubrimiento de las vulnerabilidades críticas sea motivo de gran preocupación, afirmó Sarah Jones, analista de investigación de inteligencia sobre ciberamenazas de Critical Start. Jones dijo que estos fallos se clasifican como críticos porque pueden explotarse con relativa facilidad y tienen el potencial de causar graves daños.
En el aspecto técnico, la explotación exitosa de estas vulnerabilidades de VMware podría tener consecuencias de gran alcance. Los atacantes podrían obtener el control directo de las máquinas host subyacentes, poniendo en peligro datos confidenciales, interrumpiendo operaciones críticas o lanzando nuevos ataques dentro de la red de una organización.
Por lo tanto, la explotación de estas vulnerabilidades en VMware puede tener impactos severos en varios aspectos críticos de una entidad, incluyendo su reputación, al dañar la confianza del cliente y dañar la imagen pública de su organización; la disponibilidad, dado que un ataque exitoso podría causar tiempo de inactividad y afectar directamente la continuidad del negocio; el aspecto financiero, con costos significativos de recuperación, multas por incumplimiento de SLAs y pérdida de ingresos; y el cumplimiento legal, donde fallar en mantener sistemas seguros puede resultar en sanciones legales y multas por violar regulaciones y leyes relevantes.
Referencia:
