VMware har udsendt en opdateret rettelse til en kritisk fjernudførelsesfejl af kritisk alvor i sine ESXi-hypervisor-produkter.
Middagens VMware-rådgivning sagde, at opdaterede patch-versioner var tilgængelige, efter at det blev opdaget, at den tidligere patch, der blev udsendt den 20. oktober, ikke helt afhjælper sårbarheden. Det skyldes, at visse versioner, der var berørt, ikke tidligere var dækket af den tidligere opdatering.
“Opdaterede patchversioner i svarmatrixen i afsnit 3a efter udgivelsen af ESXi-patches, der afsluttede den ufuldstændige rettelse af CVE-2020-3992 den 2020-11-04,” stod der i Oracles opdaterede advisory.
Fejlen findes i OpenSLP-funktionen i VMware ESXi. ESXi er en hypervisor, der bruger software til at abstrahere processor-, hukommelses-, lager- og netværksressourcer i flere virtuelle maskiner (VM’er). Hver virtuel maskine kører sit eget styresystem og programmer. OpenSLP er i mellemtiden en åben standardteknologi, der gør det muligt for systemer at opdage tjenester, der er tilgængelige til brug på netværket.
Den implementering af OpenSLP i ESXi har ifølge VMware et UAF-problem (use-after-free). UAF-fejl er relateret til den ukorrekte udnyttelse af dynamisk hukommelse under et programs drift; Hvis et program ikke rydder pointeren til hukommelsen efter frigørelse af en hukommelsesplacering, kan en angriber udnytte denne fejl.
I tilfælde af denne specifikke fejl kan “en ondsindet aktør, der befinder sig i managementnetværket, og som har adgang til port 427 på en ESXi-maskine, være i stand til at udløse en use-after-free i OpenSLP-tjenesten, hvilket resulterer i fjernudførelse af kode,” hedder det i meddelelsen. Yderligere detaljer om fejlen er endnu ikke tilgængelige.
Fejlen (CVE-2020-3992) har en CVSS-score på 9,8 ud af 10, hvilket gør den kritisk.
Mens der tidligere i adviseringen stod, at fejlen påvirker ESXi-versionerne 6.5, 6.7 og 7.0; de berørte produkter er nu blevet opdateret til at omfatte ESXi-implementeringer på VMware Cloud Foundation 3.x og 4.x. VMware Cloud Foundation er den hybride cloud-platform til håndtering af VM’er og orkestrering af containere, der er bygget på full-stack hyperkonvergeret infrastruktur (HCI) teknologi. ESXi-software kan installeres på Cloud Foundation-servere.
Mens ESXi-brugere kan opdatere til de faste versioner ESXi70U1a-17119627 (til version 7), ESXi670-202011301-SG (til version 6.7) og ESXi650-202011401-SG (til version 6.5), en patch er stadig “afventende” for berørte VMware Cloud Foundation-versioner.
Lucas Leong (@_wmliang_) med Trend Micro’s Zero Day Initiative blev krediteret for at rapportere fejlen. Threatpost kontaktede Leong for yderligere kommentarer.
VMwares oktoberopdatering udsendte også patches for vigtige fejl (CVE-2020-3993, CVE-2020-3994, CVE-2020-3995 og CVE-2020-3981) samt en sårbarhed af moderat sværhedsgrad (CVE-2020-3982).
Tidligere i år blev der afsløret en kritisk fejl i VMwares Directory Service (vmdir), som afslørede en kritisk fejl med hensyn til videregivelse af oplysninger. Hvis fejlen blev udnyttet, kunne den have afsløret indholdet af hele virksomheders virtuelle infrastrukturer.
Hackere har sat fokus på sundhedssektoren: Den 18. november kl. 14.00 EDT finder du ud af, hvorfor hospitaler bliver ramt af ransomware-angreb i 2020. Gem din plads til dette GRATIS webinar om sundhedsvæsenets cybersikkerhedsprioriteter og hør fra førende sikkerhedsstemmer om, hvordan datasikkerhed, ransomware og patching skal være en prioritet for alle sektorer, og hvorfor. Deltag onsdag den 18. november kl. 2-3 p.m. EDT til dette LIVE-webinar med begrænset deltagelse.