VMware hat einen aktualisierten Fix für einen kritischen Fehler bei der Remote-Code-Ausführung in seinen ESXi-Hypervisor-Produkten veröffentlicht.
Im VMware-Advisory vom Mittwoch heißt es, dass aktualisierte Patch-Versionen verfügbar sind, nachdem festgestellt wurde, dass der vorherige Patch, der am 20. Oktober veröffentlicht wurde, die Schwachstelle nicht vollständig behoben hat. Das liegt daran, dass bestimmte Versionen, die betroffen waren, zuvor nicht durch das frühere Update abgedeckt waren.
„Aktualisierte Patch-Versionen in der Antwortmatrix von Abschnitt 3a nach der Veröffentlichung von ESXi-Patches, die den unvollständigen Fix für CVE-2020-3992 am 2020-11-04 vervollständigt haben“, heißt es in dem aktualisierten Advisory von Oracle.
Die Schwachstelle besteht in der OpenSLP-Funktion von VMware ESXi. ESXi ist ein Hypervisor, der Software verwendet, um Prozessor-, Speicher-, Storage- und Netzwerkressourcen in mehrere virtuelle Maschinen (VMs) zu abstrahieren. Jede virtuelle Maschine führt ihr eigenes Betriebssystem und ihre eigenen Anwendungen aus. OpenSLP ist eine offene Standardtechnologie, die es Systemen ermöglicht, im Netzwerk verfügbare Dienste zu erkennen.
Die Implementierung von OpenSLP in ESXi hat laut VMware ein Use-after-free (UAF)-Problem. Wenn ein Programm den Zeiger auf den Speicher nach dem Freigeben eines Speicherplatzes nicht löscht, kann ein Angreifer diese Schwachstelle ausnutzen.
Im Falle dieser speziellen Schwachstelle „kann ein böswilliger Akteur, der sich im Verwaltungsnetzwerk befindet und Zugriff auf Port 427 auf einer ESXi-Maschine hat, eine Use-after-free-Schwachstelle im OpenSLP-Dienst auslösen, was zu einer Remotecodeausführung führt“, heißt es in dem Advisory. Weitere Details zu der Schwachstelle sind noch nicht verfügbar.
Die Schwachstelle (CVE-2020-3992) hat einen CVSS-Score von 9,8 von 10, was sie als kritisch einstuft.
Während das Advisory zuvor sagte, dass die Schwachstelle die ESXi-Versionen 6.5, 6.7 und 7.0; die betroffenen Produkte wurden nun aktualisiert, um ESXi-Implementierungen auf VMware Cloud Foundation 3.x und 4.x einzuschließen. VMware Cloud Foundation ist die Hybrid-Cloud-Plattform für das Management von VMs und die Orchestrierung von Containern, die auf einer vollwertigen hyperkonvergenten Infrastruktur (HCI) basiert. ESXi-Software kann auf Cloud Foundation-Servern installiert werden.
Während ESXi-Anwender auf die korrigierten Versionen ESXi70U1a-17119627 (für Version 7), ESXi670-202011301-SG (für Version 6.7) und ESXi650-202011401-SG (für Version 6.5), ein Patch für die betroffenen VMware Cloud Foundation-Versionen steht noch aus.
Lucas Leong (@_wmliang_) von der Trend Micro Zero Day Initiative hat die Schwachstelle gemeldet. Threatpost bat Leong um einen weiteren Kommentar.
Das Oktober-Update von VMware enthielt auch Patches für wichtige Schwachstellen (CVE-2020-3993, CVE-2020-3994, CVE-2020-3995 und CVE-2020-3981) sowie für eine Schwachstelle mit mittlerem Schweregrad (CVE-2020-3982).
Anfang des Jahres wurde ein kritischer Fehler in VMwares Directory Service (vmdir) bekannt, der die Preisgabe von Informationen ermöglicht. Bei Ausnutzung des Fehlers hätte der Inhalt ganzer virtueller Unternehmensinfrastrukturen offengelegt werden können.
Hacker nehmen das Gesundheitswesen ins Visier: Erfahren Sie am 18. November um 14 Uhr EDT, warum Krankenhäuser im Jahr 2020 von Ransomware-Angriffen heimgesucht werden. Sichern Sie sich Ihren Platz für dieses KOSTENLOSE Webinar über die Prioritäten der Cybersicherheit im Gesundheitswesen und erfahren Sie von führenden Sicherheitsexperten, warum Datensicherheit, Ransomware und Patches in jedem Sektor Priorität haben müssen und warum. Besuchen Sie uns am Mittwoch, den 18. November, um 14:00 Uhr EDT zu diesem LIVE-Webinar mit begrenzter Teilnehmerzahl.