VMware ha divulgato le patch per una serie di vulnerabilità relative ai suoi prodotti VMware ESXi, Workstation, Fusion e Cloud Foundation. Accade sovente che i produttori sia di hardware che di software correggano dei bug. La nota singolare in questo caso è che alcune falle sono state ritenute talmente gravi da portare alla pubblicazione di aggiornamenti anche di prodotti che hanno ormai raggiunto la fine del loro ciclo di vita, quindi ufficialmente non più supportati.

Come indicato nella pagina ufficiale, le vulnerabilità sono monitorate con le sigle CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 e CVE-2024-22255 e riguardano VMware Workstation, VMware Fusion e/o VMware ESXi sia a sé stanti, sia come parte della piattaforma VMware vSphere sia come parte di VMware Cloud Foundation. Il produttore sottolinea che “le singole vulnerabilità documentate hanno un livello di gravità Importante, ma la loro combinazione comporta un livello di gravità Critico”.

Un problema grave

Il noto brand, ora di proprietà di Broadcom, notifica che VMware ESXi, Workstation e Fusion sono afflitti da una falla use-after-free (UAF) nel controller USB XHCI che è stata valutata in un intervallo di gravità che va dal livello critico con un punteggio CVSS di 9.3 per quanto riguarda Workstation/Fusion a quello Importante con un punteggio CVSS di 8.4 per ciò che concerne ESXi.

Come suggerito dal nome stesso, le vulnerabilità use-after-free sono il risultato dell'uso errato della memoria dinamica durante il funzionamento di un programma. Se, dopo aver liberato una posizione di memoria, un programma non cancella il puntatore a tale memoria, un attaccante può sfruttare l'errore per manipolare il programma e causare l'arresto anomalo di un programma, l'utilizzo di valori imprevisti o l'esecuzione di codice.

A spiegare bene che cosa succede ci hanno pensato gli esperti dei Malwarebytes Labs. Nel caso specifico la preoccupazione cresce ancora di più perché la falla riguarda le macchine virtuali (VM). Come noto, un computer fisico host può eseguire più macchine virtuali separate e isolate l'una dall'altra e dall'host stesso. Le risorse fisiche dell'host vengono allocate alle VM da un hypervisor software, che funge da intermediario tra l'host e la VM.

Le vulnerabilità corrette negli aggiornamenti di VMware consentono a un software di superare i confini di una VM e influenzare il sistema operativo host. Da qui la decisione di supportare anche le versioni a fine vita dei software.

Che cosa possono fare gli attaccanti

La falla CVE-2024-22254 è relativa alla scrittura fuori limite in VMware ESXi. Un attaccante con privilegi all'interno del processo VMX può attivare una scrittura fuori dai limiti che porta a una fuga dalla sandbox. Un ambiente sandbox è in buona sostanza una macchina virtuale isolata in cui il codice potenzialmente pericoloso può essere eseguito senza che influisca sulle risorse di rete o sulle applicazioni locali.

Una scrittura fuori dai limiti può verificarsi quando un programma scrive al di fuori dei limiti di un'area di memoria allocata, causando potenzialmente un arresto anomalo o l'esecuzione di codice arbitrario. Ciò può verificarsi quando la dimensione dei dati scritti in memoria è maggiore della dimensione dell'area di memoria allocata, quando i dati vengono scritti in una posizione errata all'interno dell'area di memoria o quando il programma calcola in modo errato la dimensione o la posizione dei dati da scrivere.

Inoltre, un attaccante potrebbe per esempio bloccare efficacemente l'uso di dispositivi USB virtuali o emulati, fra cui mouse e tastiera, dato che tre delle vulnerabilità interessano il controller USB (CVE-2024-22252, CVE-2024-22253 e CVE-2024-22255).

Sulla pagina ufficiale di VMware sono pubblicate tutte le indicazioni per scaricare e installare le patch.