VMware julkaisi korjaavan päivityksen kriittiseen haavoittuvuuteen

VMwaren eXtensible Host Controller Interface (XHCI) USB-ohjaimesta on löytynyt kriittinen haavoittuvuus, joka mahdollistaa virtuaalikoneen järjestelmävalvojan tunnuksilla pääsyn virtualisointialustaan Virtual Machine Executable (VMX) -prosessin avulla. VMware on julkaissut korjaavat päivitykset, jotka suositellaan asennettavaksi välittömästi.

VMwaren ESXi, Fusion, Workstation ja Cloud -järjestelmistä on löytynyt kriittinen haavoittuvuus CVE-2020-4004, joka sai CVSS-arvoksi 9.3. XHCI USB -ohjaimen haavoittuvuus mahdollistaa virtuaalikoneelta haitallisen koodin syöttämisen Virtual Machine Executable (VMX) -prosessin avulla.

Haavoittuvuuden hyväksikäyttäminen vaatii virtuaalikoneella järjestelmävalvojan oikeuksia. VMware julkaisi kriittiseen haavoittuvuuteen päivityksen, joka on syytä asentaa välittömästi. Samalla VMware julkaisi haavoittuvuuden CVE-2020-4005, joka sai CVSS-arvoksi 8.8. Haavoittuvuus mahdollistaa käyttöoikeuksien laajentamisen. Tätä haavoittuvuutta voidaan hyväksikäyttää vain toisen haavoittuvuuden avulla, esimerkiksi CVE-2020-4004:ta käyttämällä.

Haavoittuvuuden kohde

ESXi 6.5, 6.7 ja 7
Fusion 11.x OS X:ssä
Workstation 15.x
VMware Cloud Foundation 3.x ja 4.x

Mistä on kysymys?

VMware on julkaissut korjaavan version tuotteilleen.
ESXi 6.5 - päivitä versioon ESXi650-202011301-SG
ESXi 6.7 - päivitä versioon ESXi670-202011101-SG
ESXi 7.0 - päivitä versioon ESXi70U1b-17168206

Fusion 11.x - päivitä versioon 11.5.7
Workstation 15.x - päivitä versioon 15.5.7

CVE-2020-4004 voi myös ohittaa tilapäisesti poistamalla XHCI USB-ohjaimen käytöstä osassa tuotteista. Tarkemmat tiedot VMwaren tiedotteesta.

VMware ESXi, Workstation and Fusion updates address use-after-free and privilege escalation vulnerabilities (CVE-2020-4004, CVE-2020-4005)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.