Les mises à jour publiées par l’entreprise portaient en tout sur cinq vulnérabilités critiques et concernaient ses produits vSphere ESX-i, VMware Workstation Pro/Player et VMware Fusion Pro/Fusion.
Une équipe appelée Fluoroacetate a exploité les deux premières failles de sécurité lors du concours Pwn2Own de la conférence sur la cybersécurité CanSecWest, qui s’est déroulée à Vancouver du 20 au 22 mars, ce qui leur a permis de remporter une récompense de 70 000 $ (environ 62 000€).
Selon l’alerte de sécurité de VMware, publiée le 28 mars, ces deux problèmes concernaient une vulnérabilité de lecture/écriture inhabituelle ainsi qu’une vulnérabilité de type “Time-Of-Check Time-Of-Use” (TOCTOU) dans l’interface du contrôleur hôte universel virtuel utilisée par ESXi, Workstation et Fusion. Un attaquant doit avoir accès à une machine virtuelle dotée d’un contrôleur USB virtuel, a déclaré l’avertissement, ajoutant qu’il pourrait permettre à une machine virtuelle invitée d’exécuter du code sur le système hôte.
Les troisième et quatrième failles de sécurité concernaient des problèmes d’écriture inhabituels au niveau des adaptateurs de réseau virtuels de VMware Workstation et e1000 et e1000e de Fusion. Les deux pouvaient autoriser l’exécution de code sur l’hôte à partir d’un invité, mais ce dernier était plus susceptible d’entraîner une attaque par déni de service sur la machine virtuelle invitée, a déclaré VMware. Enfin, VMware a déclaré que son produit Fusion contenait une vulnérabilité de sécurité provenant d’une API (application programming interface) non authentifiée qui autorise l’accès à un menu d’application via un socket web.
Cela pourrait permettre à un cybercriminel de duper l’utilisateur hôte en lui faisant exécuter du code JavaScript malveillant. JavaScript peut, à son tour, manipuler la machine virtuelle de l’invité via l’utilitaire VMware Tools, permettant ainsi d’améliorer la communication entre l’hôte et l’invité. À partir de là, un attaquant pourrait exécuter diverses commandes sur la machine invitée, a déclaré l’éditeur du logiciel, remerciant les chercheurs indépendants CodeColorist (@CodeColorist) et Csaba Fitzl (@theevilbit) pour avoir signalé le problème.
Code Colorist a découvert l’origine de cette faille, et Fitzl a pris le relai. Dans un article détaillant la faille, Fitzl a expliqué :
Vous pouvez contrôler entièrement toutes les machines virtuelles (également créer/supprimer des snapshots, comme vous le souhaitez) via cette interface websocket, notamment en lançant des applications.
Code Colorist a expliqué que vous voyez normalement des exploits sortir de la machine virtuelle invitée vers l’hôte, mais ici il s’agit d’un exploit plus rare qui va dans l’autre sens :
Usually we see guest-to-host escapes from the advisory. By contrast, this is a “host browser to guest RCE” and a web vulnerability after all 🤔 https://t.co/lX78O9j2Ir
— CodeColorist (@CodeColorist) 1 avril 2019
Les numéros CVE suivants ont été attribués à ces vulnérabilités, dans l’ordre, mais au moment de la rédaction de cet article, les détails de toutes les entrées n’avaient pas encore été uploadées :
CVE-2019-5514
CVE-2019-5515
CVE-2019-5518
CVE-2019-5519
CVE-2019-5524
Quoi faire ?
VMware conseille aux clients de consulter les notes des correctifs/publications pour leur produit et les versions associées. Des informations détaillées sur les correctifs pour les différents produits sont disponibles dans l’alerte de sécurité.
Billet inspiré de VMware patches critical vulnerabilities, sur Sophos nakedsecurity.