VMware julkaisi päivitetyn korjauksen kriittisen vakavuuden omaavaan etäkoodin suorittamisen virheeseen ESXi-hypervisor-tuotteissaan.
VMware kertoi keskiviikkona antamassaan tiedotteessa, että päivitetyt korjausversiot ovat saatavilla sen jälkeen, kun havaittiin, että edellinen, 20. lokakuuta julkaistu korjaustiedote ei korjannut haavoittuvuutta kokonaan. Tämä johtuu siitä, että tietyt versiot, joihin haavoittuvuus vaikutti, eivät olleet aiemmin kuuluneet aikaisemman päivityksen piiriin.
”Päivitetyt paikkausversiot jakson 3a vastausmatriisissa sen jälkeen, kun julkaistiin ESXi-korjaustiedostot, jotka täydensivät CVE-2020-3992:n epätäydellisen korjauksen 2020-11-04”, sanottiin Oraclen päivitetyssä tiedotteessa.
Haavoittuvuus on olemassa VMware ESXi:n OpenSLP-ominaisuudessa. ESXi on hypervisor, joka abstrahoi ohjelmistojen avulla prosessori-, muisti-, tallennus- ja verkkoresursseja useisiin virtuaalikoneisiin (VM). Kukin virtuaalikone käyttää omaa käyttöjärjestelmäänsä ja sovelluksiaan. OpenSLP puolestaan on avoin standarditekniikka, jonka avulla järjestelmät voivat löytää verkossa käytettävissä olevia palveluita.
OpenSLP:n toteutuksessa ESXi:ssä on VMwaren mukaan use-after-free (UAF) -ongelma. UAF-virheet liittyvät dynaamisen muistin virheelliseen käyttöön ohjelman toiminnan aikana; jos ohjelma ei tyhjennä osoitinta muistiin sen jälkeen, kun muistipaikka on vapautettu, hyökkääjä voi käyttää tätä virhettä hyväkseen.
Tässä nimenomaisessa tapauksessa ”hallintaverkossa asuva pahantahtoinen toimija, jolla on pääsy ESXi-koneen porttiin 427, voi laukaista use-after-free-virheen OpenSLP-palvelussa, joka johtaa koodin etätoteutukseen”, neuvonantokirjeessä todetaan. Lisätietoja viasta ei ole vielä saatavilla.
Vian (CVE-2020-3992) CVSS-pistemäärä on 9,8 pistettä 10:stä, mikä tekee siitä kriittisen.
Vaikka aiemmin tiedotteessa sanottiin, että virhe koskee ESXi-versioita 6.5, 6.7 ja 7.0; kyseiset tuotteet on nyt päivitetty koskemaan ESXi-toteutuksia VMware Cloud Foundation 3.x:ssä ja 4.x:ssä. VMware Cloud Foundation on hybridi-pilvialusta VM:ien hallintaan ja konttien orkestrointiin, ja se on rakennettu täysimittaisen hyperkonvergoidun infrastruktuurin (HCI) teknologiaan. ESXi-ohjelmisto voidaan asentaa Cloud Foundation -palvelimiin.
Vaikka ESXi-käyttäjät voivat päivittää korjattuihin versioihin ESXi70U1a-17119627 (versiolle 7), ESXi670-202011301-SG (versiolle 6.7) ja ESXi650-202011401-SG (versiolle 6.5), korjausta odotetaan edelleen VMware Cloud Foundation -versioita varten.
Lucas Leong (@_wmliang_) Trend Micron Zero Day Initiative -ryhmästä raportoi virheestä. Threatpost pyysi Leongilta lisäkommentteja.
VMwaren lokakuun päivityksessä julkaistiin myös korjaukset tärkeisiin haavoittuvuuksiin (CVE-2020-3993, CVE-2020-3994, CVE-2020-3995 ja CVE-2020-3981) sekä kohtalaisen vakavaan haavoittuvuuteen (CVE-2020-3982).
Tämän vuoden alussa paljastui kriittinen tietojen paljastamisvika VMwaren hakemistopalvelussa (vmdir). Jos virhettä olisi käytetty hyväksi, se olisi voinut paljastaa kokonaisten yritysten virtuaalisten infrastruktuurien sisällön.
Hakkerit tähtäävät terveydenhuoltoon: Nov. 18 klo 14.00 EDT selvitä, miksi sairaalat joutuvat lunnasohjelmahyökkäysten kohteeksi vuonna 2020. Varaa paikkasi tähän terveydenhuollon kyberturvallisuuden prioriteetteja käsittelevään ILMAISEEN webinaariin ja kuule johtavilta tietoturva-asiantuntijoilta, miten tietoturva, lunnasohjelmat ja korjaukset on asetettava etusijalle jokaisella sektorilla ja miksi. Tule mukaan ke 18. marraskuuta klo 14-23 EDT tähän LIVE-verkkoseminaariin, johon on rajoitettu osallistujamäärä.