VMware heeft een bijgewerkte fix uitgebracht voor een kritieke fout met betrekking tot remote code execution in zijn ESXi-hypervisorproducten.
In een VMware-advies van woensdag stond dat bijgewerkte patchversies beschikbaar waren nadat was ontdekt dat de vorige patch, die op 20 oktober was uitgebracht, de kwetsbaarheid niet volledig had verholpen. Dat komt omdat bepaalde versies die werden getroffen, niet eerder werden gedekt door de eerdere update.
“Bijgewerkte patchversies in de responsmatrix van sectie 3a na de release van ESXi-patches die de onvolledige fix voor CVE-2020-3992 op 2020-11-04 voltooiden”, aldus de bijgewerkte advisory van Oracle.
De fout bestaat in de OpenSLP-functie van VMware ESXi. ESXi is een hypervisor die software gebruikt om processor-, geheugen-, opslag- en netwerkresources te abstraheren in meerdere virtuele machines (VM’s). Elke virtuele machine draait zijn eigen besturingssysteem en applicaties. OpenSLP is ondertussen een open standaardtechnologie waarmee systemen diensten kunnen ontdekken die beschikbaar zijn voor gebruik op het netwerk.
De implementatie van OpenSLP in ESXi heeft een use-after-free (UAF) probleem, aldus VMware. UAF-fouten hebben te maken met het onjuiste gebruik van dynamisch geheugen tijdens de werking van een programma; als een programma de pointer naar het geheugen niet wist na het vrijmaken van een geheugenlocatie, kan een aanvaller gebruikmaken van deze fout.
In het geval van deze specifieke fout, “kan een kwaadwillende actor die zich in het beheernetwerk bevindt en toegang heeft tot poort 427 op een ESXi-machine een use-after-free in de OpenSLP-service triggeren, wat resulteert in het op afstand uitvoeren van code”, aldus de advisory. Verdere details over de fout zijn nog niet beschikbaar.
De fout (CVE-2020-3992) heeft een CVSS-score van 9,8 uit 10, waardoor deze kritiek is.
Terwijl de advisory eerder zei dat de fout ESXi-versies 6.5, 6.7 en 7.0; de getroffen producten zijn nu bijgewerkt met ESXi-implementaties op de VMware Cloud Foundation 3.x en 4.x. VMware Cloud Foundation is het hybride cloudplatform voor het beheren van VM’s en het orkestreren van containers, gebouwd op full-stack hyperconverged infrastructure (HCI)-technologie. ESXi-software kan worden geïnstalleerd op Cloud Foundation-servers.
Terwijl ESXi-gebruikers kunnen updaten naar de vaste versies ESXi70U1a-17119627 (voor versie 7), ESXi670-202011301-SG (voor versie 6.7) en ESXi650-202011401-SG (voor versie 6.5), een patch is nog “in afwachting” voor getroffen VMware Cloud Foundation-versies.
Lucas Leong (@_wmliang_) met Trend Micro’s Zero Day Initiative werd gecrediteerd voor het melden van de fout. Threatpost benaderde Leong voor verder commentaar.
VMware’s oktober-update bracht ook patches uit voor belangrijke fouten (CVE-2020-3993, CVE-2020-3994, CVE-2020-3995 en CVE-2020-3981), evenals een kwetsbaarheid van gemiddelde ernst (CVE-2020-3982).
Eerder dit jaar werd een kritieke bug in VMware’s Directory Service (vmdir) onthuld die informatie vrijgeeft. Als het lek was uitgebuit, had het de inhoud van complete virtuele infrastructuren van bedrijven kunnen onthullen.
Hackers zetten Bullseye op Healthcare: Ontdek op 18 november om 14.00 uur EDT waarom ziekenhuizen in 2020 worden gehamerd door ransomware-aanvallen. Sla uw plaats in voor dit GRATIS webinar over cyberbeveiligingsprioriteiten in de gezondheidszorg en hoor van toonaangevende beveiligingsstemmen over hoe gegevensbeveiliging, ransomware en patching een prioriteit moeten zijn voor elke sector, en waarom. Doe mee op woensdag 18 november, om 14:00 tot 14:00 EDT voor dit LIVE webinar met beperkte toegang.