VMware waarschuwt voor vier kwetsbaarheden die verschillende hypervisors treffen. Via de kwetsbaarheden kunnen aanvallers via de virtuele omgeving toegang krijgen tot je fysieke omgeving.
VMware rapporteert dat het vier kwetsbaarheden ontdekt heeft die verschillende hypervisors van het bedrijf kunnen treffen. Het gaat meer bepaald om VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion Pro / Fusion (Fusion) en VMware Cloud Foundation (Cloud Foundation). Twee van de kwetsbaarheden labelt het als zeer ernstig en daarom roept het klanten om op een remediëring niet te lang uitstellen.
Een hypervisor legt een ‘isolatielaag’ tussen een virtuele machine en de fysieke host waar de VM op draait. Dat moet er net voor zorgen dat wat op de virtuele machine gebeurt, zo weinig mogelijk impact heeft op de gastheer. Maar de kwetsbaarheden hebben net het omgekeerd effect en zorgen ervoor dat de hypervisor net een toegangspoort tussen de virtuele machine en het apparaat is. Hierdoor kan een aanvaller vanuit de virtuele machine schadelijke code uitvoeren op het hostapparaat, wat bijvoorbeeld een Windows-pc of Mac kan zijn.
Virtuele USB
Drie van de vier kwetsbaarheden zijn te wijten aan virtuele USB-controllers, verklaart VMware. Je kan die uit een virtuele machine verwijderen, omdat je dan ook muis- en toetsenbordbediening kan uitschalen. VMware zegt dan ook zelf dat deze workaround mogelijk ‘niet haalbaar is op grote schaal’. De meeste Windows en Linux versies ondersteunen wel het gebruik van een virtuele PS/2 muis en toetsenbord, waardoor het wegnemen van de USB-controller weinig tot geen invloed heeft.
Om het probleem helemaal op te lossen, raadt VMware klanten aan om hun hypervisors bij te werken naar de meest recente ondersteunde versie. Nooit een slecht advies wanneer een kwetsbaarheid opduikt. VMware deelt een overzicht van welke versie veilig is voor ieder type hypervisor.
VMware deelde eind februari ook al twee kwetsbaarheden in een plug-in voor vCenter Server. Het bereik van die kwetsbaarheden was een stuk beperkter, aangezien het om een verouderde plug-in ging en kom opgelost worden door die simpelweg te verwijderen. Deze kwetsbaarheid zou veel meer slachtoffers kunnen maken als klanten niet snel ingrijpen. Het zijn niet de enige problemen die de virtualisatiespecialist heeft.