VMware ha rilasciato una correzione aggiornata per una falla critica di esecuzione di codice da remoto nei suoi prodotti hypervisor ESXi.
L’advisory di VMware di mercoledì ha detto che le versioni aggiornate della patch sono disponibili dopo aver scoperto che la patch precedente, rilasciata il 20 ottobre, non ha completamente risolto la vulnerabilità. Questo perché alcune versioni che sono state colpite non erano precedentemente coperte nell’aggiornamento precedente.
“Versioni aggiornate delle patch nella matrice di risposta della sezione 3a dopo il rilascio delle patch ESXi che hanno completato la correzione incompleta per CVE-2020-3992 il 2020-11-04”, ha detto l’advisory aggiornato di Oracle.
La falla esiste nella funzione OpenSLP di VMware ESXi. ESXi è un hypervisor che usa il software per astrarre il processore, la memoria, lo storage e le risorse di rete in più macchine virtuali (VM). Ogni macchina virtuale esegue il proprio sistema operativo e le proprie applicazioni. OpenSLP nel frattempo è una tecnologia standard aperta che permette ai sistemi di scoprire i servizi disponibili per l’uso sulla rete.
L’implementazione di OpenSLP in ESXi ha un problema use-after-free (UAF), secondo VMware. Le falle UAF sono legate all’utilizzo scorretto della memoria dinamica durante il funzionamento di un programma; se un programma non cancella il puntatore alla memoria dopo aver liberato una posizione di memoria, un attaccante può sfruttare questa falla.
Nel caso di questa falla specifica, “un attore malintenzionato residente nella rete di gestione che ha accesso alla porta 427 su una macchina ESXi può essere in grado di innescare un use-after-free nel servizio OpenSLP con conseguente esecuzione di codice in remoto”, ha detto l’advisory. Ulteriori dettagli della falla non sono ancora disponibili.
La falla (CVE-2020-3992) ha un punteggio CVSS di 9.8 su 10, rendendola critica.
Mentre prima l’advisory diceva che la falla colpisce le versioni 6.5, 6.7 e 7 di ESXi.0; i prodotti interessati sono stati ora aggiornati per includere le implementazioni ESXi su VMware Cloud Foundation 3.x e 4.x. VMware Cloud Foundation è la piattaforma cloud ibrida per la gestione delle VM e l’orchestrazione dei container, costruita sulla tecnologia HCI (hyperconverged infrastructure) full-stack. Il software ESXi può essere installato sui server Cloud Foundation.
Mentre gli utenti ESXi possono aggiornare alle versioni fisse ESXi70U1a-17119627 (per la versione 7), ESXi670-202011301-SG (per la versione 6.7) e ESXi650-202011401-SG (per la versione 6.5), una patch è ancora “in attesa” per le versioni interessate di VMware Cloud Foundation.
Lucas Leong (@_wmliang_) con Trend Micro’s Zero Day Initiative è stato accreditato con la segnalazione del difetto. Threatpost ha contattato Leong per ulteriori commenti.
L’aggiornamento di ottobre di VMware ha anche rilasciato patch per falle importanti (CVE-2020-3993, CVE-2020-3994, CVE-2020-3995 e CVE-2020-3981) così come una vulnerabilità di moderata gravità (CVE-2020-3982).
All’inizio di quest’anno, un bug critico di divulgazione delle informazioni è stato rivelato nel Directory Service (vmdir) di VMware. Se sfruttato, il difetto avrebbe potuto esporre il contenuto di intere infrastrutture virtuali aziendali.
Hackers Put Bullseye on Healthcare: Il 18 novembre alle 2 p.m. EDT scopri perché gli ospedali sono stati martellati dagli attacchi ransomware nel 2020. Salva il tuo posto per questo webinar GRATUITO sulle priorità della cybersecurity sanitaria e ascolta le principali voci della sicurezza su come la sicurezza dei dati, il ransomware e le patch devono essere una priorità per ogni settore, e perché. Unisciti a noi Wed., Nov. 18, 2-3 p.m. EDT per questo LIVE, webinar a impegno limitato.