VMware ha pubblicato le correzioni di
tre vulnerabilità critiche che interessano VMware Workstation, Fusion e vSphere. Se sfruttate, potevano consentire ai cyber criminali di rubare informazioni riservate. La prima, identificata con la sigla
CVE-2020-3960, affligge tre prodotti: VMware vSphere ESXi, VMware Workstation Pro / Player e VMware Fusion Pro.
È stata segnalata in forma privata dal ricercatore di Google Cloud security Cfir Cohen e riguarda un difetto di lettura out-of-bounds. Permette a un cyber criminale con accesso locale a una macchina virtuale di leggere le informazioni privilegiate contenute in memoria. Al link indicato si può scaricare la patch, elencata nella colonna "Fixed Version" della tabella.
La seconda falla è la
CVE-2020-3961. È stata segnalata dei ricercatori del Secure D Center Research Team e ha un punteggio CVSSv3 di 8.3, che indica un rischio elevato. Si tratta di una vulnerabilità di escalation dei privilegi che interessa Horizon Client per Windows 5.x e precedenti. È stata risolta con la versione 5.4.3, che è consigliabile installare dato l'indice di criticità di 8.4.
Terza e ultima vulnerabilità è quella che corrisponde alla sigla
CVE-2020-3956. Riguarda l'iniezione di codice con VMware Cloud Director. Se sfruttata, può portare all'
esecuzione arbitraria di codice remoto. Un attaccante potrebbe farne uso per inviare traffico dannoso a VMware Cloud Director.
Queste correzioni, insieme a quelle
pubblicate ieri da Microsoft, fanno comprendere l'importanza degli aggiornamenti. La prima regola per lavorare in un ambiente sicuro all'interno dell'azienda è
tenere aggiornati tutti i sistemi operativi e le applicazioni in uso.
L'installazione tardiva delle patch aumenta i rischi per le aziende e i costi dei data breach.
I reparti IT spesso oberati di lavoro tendono a dare priorità al monitoraggio delle minacce piuttosto che all'installazione delle patch, che in alcuni casi possono comportare un temporaneo fermo della produttività. È tuttavia da annotare che i downtime causati dal ritardo nell'installazione delle patch sono aumentati del 30% nel 2019 rispetto all'anno precedente.
Non ultimo, la cronaca dimostra che i cyber criminali sfruttano le vulnerabilità già 48 ore dopo la loro divulgazione, quindi i 12 giorni in media impiegati per l'installazione delle patch lasciano agio agli attaccanti di mettere a segno i loro obiettivi. Esistono soluzioni automatizzate per la gestione delle patch che possono risolvere il problema senza un intervento manuale.