Bug VMware yang Belum Ditambal Sebagian Membuka Pintu untuk Pengambilalihan Hypervisor

Kerentanan keamanan
A di platform Cloud Foundation, ESXi, Fusion, dan Workstation VMware dapat membuka jalan bagi pengambilalihan hypervisor di lingkungan virtual – dan tambalan masih tertunda untuk beberapa pengguna.

Masalah ini memengaruhi banyak portofolio spesialis virtualisasi dan memengaruhi Windows, Pengguna Linux dan Mac. Detail tentang platform:

<

ul>

  • Cloud Foundation adalah platform manajemen multicloud VMware, menyediakan layanan yang ditentukan perangkat lunak untuk komputasi, penyimpanan, jaringan, keamanan, Kubernetes, dan sebagainya.liu

    <

    ul>iESXi adalah hypervisor bare-metal yang diinstal pada server dan mempartisinya menjadi beberapa virtual machine (VMs).liu

    <

    ul>iFusion adalah hypervisor perangkat lunak yang memungkinkan Mac berbasis Intel menjalankan VM dengan sistem operasi tamu – seperti Microsoft Windows, Linux, NetWare, Solaris, atau macOS.liu

      iWorkstation memungkinkan pengguna mengatur VM pada satu mesin fisik.

    Bug (CVE-2021-22045) adalah kerentanan heap-overflow dengan tingkat keparahan tinggi yang membawa peringkat CVSS 7,7 dari 10. Heap overflows adalah masalah memori yang dapat mengakibatkan kerusakan data atau perilaku tak terduga oleh proses apa pun yang mengakses memori yang terpengaruh area – dalam beberapa kasus mengakibatkan eksekusi kode jarak jauh (RCE).

    Dalam kasus ini, masalahnya ada pada fungsi emulasi perangkat CD-ROM dari produk yang terpengaruh.

    “Aktor jahat dengan akses ke mesin virtual dengan emulasi perangkat CD-ROM mungkin dapat mengeksploitasi kerentanan ini bersama dengan masalah lain, untuk mengeksekusi kode pada hypervisor dari mesin virtual,” vendor mencatat dalam penasehatnya. “Eksploitasi yang berhasil memerlukan gambar CD untuk dilampirkan ke mesin virtual.”

    Reno Robert, peneliti kerentanan senior untuk Zero Day Initiative dari Trend Micro, mengatakan kepada Threatpost bahwa masalah tersebut disebabkan oleh “kurangnya validasi yang tepat dari panjang data yang disediakan pengguna. sebelum menyalinnya ke buffer berbasis heap dengan panjang tetap.”

    Complex but Dangerous Exploitation

    Robert menambahkan bahwa meskipun bug memungkinkan pengguna OS tamu yang tidak dipercaya untuk mengeksekusi kode pada hypervisor, “penyerang tidak akan memiliki kendali atas data yang ditulis, jadi eksploitasi ini akan sulit.”

    Oleh karena itu kebutuhan untuk digunakan “bersama dengan masalah lain.” Reno menjelaskan bahwa contoh masalah lain “bisa berupa kerentanan pengungkapan informasi yang memberikan detail tentang tata letak memori. Ini akan membuat eksploitasi lebih layak.”

    Jika berhasil, penyerang dapat membahayakan sistem operasi host dari hypervisor. Mengambil alih hypervisor, yang merupakan perangkat lunak dengan hak istimewa tinggi yang membuat dan menjalankan VM dan mengatur bagaimana sumber daya dibagikan di antara mereka (seperti memori dan pemrosesan), dapat memberikan jalur yang jelas bagi penjahat dunia maya untuk mengakses data atau aplikasi apa pun yang disimpan di VM itu mengontrol, dan mengeksekusi kode atau menginstal file pada VM tersebut, tergantung pada kontrol keamanan yang diterapkan.

    Researcher “Jaanus Kxc3xa4xc3xa4p” dengan Clarified Security dan ZDI Trend Micro dikreditkan dengan menemukan bug.

    Patch VMware CVE-2021-22045 Now

    Versi produk yang terpengaruh adalah: ESXi 6.5, 6.7 dan 7 (versi 7 masih belum ditambal untuk saat ini); Penggabungan 12.x; Stasiun kerja 16.x; dan semua versi VMware Cloud Foundation. Informasi tambalan dapat ditemukan di penasihat vendor.

    Pengguna harus melakukan tambalan sesegera mungkin, mengingat VMware adalah target favorit para penjahat dunia maya. Misalnya, hanya beberapa hari setelah kerentanan kritis CVE-2021-22005 RCE di VMware vCenter terungkap, eksploitasi kerja penuh bersifat publik dan digunakan di alam liar. Pengguna

    ESXi sangat berisiko: Meskipun solusinya memudahkan banyak VM untuk berbagi penyimpanan hard-drive yang sama, itu juga mengatur sistem menjadi tempat belanja satu atap untuk serangan, kata peneliti, karena penyerang dapat menargetkan hard drive virtual terpusat yang digunakan untuk menyimpan data dari seluruh VMs.

    “Server ESXi mewakili target yang menarik bagi pelaku ancaman ransomware karena mereka dapat menyerang beberapa VM sekaligus, di mana masing-masing VM dapat menjalankan aplikasi atau layanan penting bisnis,” Andrew Brandt, peneliti utama di Sophos, baru-baru ini menjelaskan. “Serangan pada hypervisor bisa cepat dan sangat mengganggu.”

    Dia membahas serentetan serangan pada bulan Oktober yang menggunakan kode Python yang membutuhkan waktu kurang dari tiga jam untuk menyelesaikan serangan ransomware di server ESXi, dari pelanggaran awal hingga enkripsi. Insiden itu bergabung dengan upaya ransomware lain yang menargetkan hypervisor: Pelaku ancaman ransomware REvil tahun lalu datang dengan varian Linux yang menargetkan VMware ESXi; dan pada bulan September HelloKitty bergabung dengan daftar yang terus bertambah untuk mengejar target yang menarik. DarkSide juga menargetkan server ESXi tahun lalu.

    Solusi untuk Pengguna ESXi v.7

    Tentu saja, semua itu adalah berita buruk bagi pengguna ESXi v.7, yang belum memiliki patch untuk bug terbaru ini. Namun, VMware telah mengeluarkan solusi yang dapat digunakan untuk saat ini, termasuk menonaktifkan fungsionalitas CD-ROM/DVD.

    Langkah-langkahnya adalah:

  • Login ke sistem vCenter Server menggunakan vSphere Web Client.liu

    <

    ul>iKlik kanan mesin virtual dan klik Edit Settings.liu

    <

    ul>iPilih drive CD/DVD dan hapus centang “Connected” dan “Connect at power on” dan hapus semua ISO yang terlampir. Untuk menghitung VM yang memiliki perangkat CD-ROM/DVD terpasang, pengguna dapat menjalankan perintah berikut, sesuai dengan vendor:

    Get-VM | Dapatkan-CDDrive | Dimana {$.extensiondata.connectable.connected -eq $true} | Pilih Parent

    Kemudian perintah berikut akan menghapus dan memutuskan perangkat CD-ROM/DVD yang terpasang:

    Get-VM | Dapatkan-CDDrive | Dimana {$.extensiondata.connectable.connected -eq $true} | Set-CDDrive -NoMedia -confirm:$false

    Password Reset: On-Demand Event: Fortify 2022 dengan strategi keamanan sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.

     
    Tulis komentar
    Bagikan artikel ini:

  • Cloud Securityliu
      iVulnerabilities