VMware ha publicado correcciones para varias fallas que, en conjunto, podrían permitir a los atacantes ejecutar código malicioso en el sistema host desde el interior de una máquina virtual, evitando la capa de aislamiento crítica. Algunas de las fallas se encuentran en los controladores USB virtualizados, por lo que afectan a la mayoría de los hipervisores de VMware: VMware ESXi, VMware Workstation, VMware Fusion y VMware Cloud Foundation.
Los grupos de atacantes han explotado vulnerabilidades en productos de máquinas virtuales antes, incluso para implementar ransomware. En enero se reveló que un grupo de ciberespionaje chino había estado explotando una vulnerabilidad crítica de ejecución remota de código en VMware vCenter Server durante 18 meses antes de que fuera parcheado en octubre del año pasado.
Defectos en los controladores USB de VMware
Los nuevos parches de seguridad lanzados esta semana abordan dos vulnerabilidades de memoria de uso posterior a la liberación en los controladores UHCI USB y XHCI USB: CVE-2024-22252 y CVE-2024-22253. Estos son los controladores virtualizados que permiten el uso de dispositivos USB dentro de máquinas virtuales VMware. Ambas fallas tienen una calificación de 9,3 sobre 10 en la escala de gravedad CVSS.
«Un actor malicioso con privilegios administrativos locales en una máquina virtual puede aprovechar este problema para ejecutar código mientras el proceso VMX de la máquina virtual se ejecuta en el host», dijo VMware en iaviso ts. «En ESXi, la explotación está contenida dentro del entorno limitado de VMX, mientras que, en Workstation y Fusion, esto puede llevar a la ejecución de código en la máquina donde está instalado Workstation o Fusion».
A pesar de que VMX está protegido en ESXi, esto no limita completamente el riesgo de ejecución remota de código debido a una tercera vulnerabilidad que podría permitir a los atacantes escapar del entorno limitado de VMX. Esta es una vulnerabilidad de escritura fuera de límites rastreada como CVE-2024-22254 y clasificada con una gravedad de 7,9.
También se ha parcheado una cuarta vulnerabilidad de divulgación de información (CVE-2024-22255) en el controlador USB UHCI. Esta falla se puede utilizar para perder memoria del proceso VMX y tiene una calificación de 7.1.