ESXi, Fusion und Workstation sollten dringend aktualisiert werden VMware schließt vier kritische Schwachstellen

Anbieter zum Thema

FAST LTA GmbH

VMware patcht vier kritische Sicherheitslücken, die Angreifer nutzen könnten, um aus einer VM auszubrechen und Code auf dem Host-System auszuführen. Betroffen sind die VMware-Systeme ESXi/vSphere, Workstation und Fusion. Die Updates sollten aufgrund des hohen Risikos so schnell wie möglich installiert werden.

Aktuell gibt es mehrere Sicherheitslücken in den VMware-Produkten ESXi, Workstation und Fusion. Bei einem erfolgreichen Angriff können Cyberkriminelle aus der VM ausbrechen und Code auf dem Host-System ausführen. Das kann das ganze Netzwerk und natürlich auch alle anderen Geräte und VMs betreffen. Die Schwachstellen wurden durch mehrere Sicherheitsforscher entdeckt, die mit Ant Group Light-Year Security Lab und QiAnXin zusammenarbeiten. Diese haben die Lücke CVE-2024-22252 identifiziert. Die Sicherheitsforscher VictorV und Wei haben die Lücke CVE-2024-22253 entdeckt. Zwei weitere Sicherheitslücken hat VMware selbst gefunden (CVE-2024-22254 und CVE-2024-22255).

Das BSI warnt: Kritische Schwachstellen gefährden das Netzwerk

Auch das BSI warnt in einem eigenen Beitrag vor den Schwachstellen und empfiehlt die sofortige Installation der zur Verfügung gestellten Updates. Die beiden Sicherheitslücken CVE-2024-22252 und CVE-2024-22253 sind daher bei Workstation und Fusion als „kritisch“ mit einem CVSS von 9.3 eingestuft.

In ESXi ist die Lücke weniger dramatisch und als „hoch“ mit einem CVSS 8.4 deklariert. Für das Ausnutzen der Sicherheitslücken sind lokale Administrator-Rechten auf der VM notwendig. Das stellt Hacker allerdings nicht gerade vor unlösbare Aufgaben. Die Schwachstellen sind für VMware so relevant, dass sogar die abgelaufene Version ESXi 6.x ein Update erhält. Auch dieses sollten Admins so schnell wie möglich installieren. Betroffen sind daher folgende VMware-Produkte:

• VMware ESXi

• VMware Workstation Pro / Player (Workstation)

• VMware Fusion Pro / Fusion (Fusion)

• VMware Cloud Foundation (Cloud Foundation)

VMware hat zu den 4 Schwachstellen CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 und CVE-2024-22255 einen eigenen Warn-Beitrag erstellt. Hierüber können die Updates heruntergeladen werden.

XHCI-/UHCI-USB-Controller gefährdet

Wie aus einer Warnmeldung hervorgeht, sind dafür aber lokale Admin-Rechte in einer VM notwendig. Dennoch sind die Sicherheitslücken (CVE-2024-22252, CVE-2024-22253) im XHCI-/UHCI-USB-Controller im Kontext von Fusion und Workstation als "kritisch" eingestuft.

Weil mit ESXi die VMX-Sandbox und nicht der Host betroffen ist, gilt an dieser Stelle der Bedrohungsgrad "hoch", da generell nur die Sandbox gefährdet ist. Dennoch ist auch hier die Installation der Updates anzuraten.

Denn Angreifer können zusätzlich noch die Lücke CVE-2024-22254 ausnutzen (CVSS 7.9) und aus der Sandbox ausbrechen. Dabei handelt es sich um eine Schwachstelle in ESXi, die sich außerhalb des zulässigen Bereichs befindet. Ein böswilliger Akteur mit Rechten innerhalb des VMX-Prozesses kann diese Lücke für einen Sandbox-Ausbruch auszulösen.

Dazu kommt die Lücke CVE-2024-22255 (CVSS 7.1), die ebenfalls den VMX-Prozess kompromittiert. Die Schwachstelle in der Offenlegung von Informationen im UHCI-USB-Controller, kann ein Angreifer mit administrativem Zugriff auf einer virtuellen Maschine ausnutzen, um Speicher aus dem vmx-Prozess zu manipulieren.

Nach der Installation der Updates aktualisieren sich die Produkte zu folgenden Versionen:

• ESXi ESXi80U2sb-23305545

• ESXi ESXi80U1d-23299997

• ESXi ESXi70U3p-23307199

• Fusion 13.5.1

• Workstation 17.5.1

(ID:49954740)