In un nuovo avviso di sicurezza, la business unit di Broadcom ha segnalato quattro vulnerabilità. Le due più gravi (CVE-2024-22252 e 22253) hanno un punteggio di 9,3/10 sugli hypervisor desktop Workstation e Fusion di VMware e di 8,4 sull’hypervisor server ESXi.

Un punteggio così alto è dovuto al fatto che un malintenzionato con privilegi amministrativi locali su una macchina virtuale può sfruttare queste falle per eseguire codice al di fuori del guest. Su Workstation e Fusion il codice verrà eseguito sul PC o Mac host, mentre in ESXi verrà eseguito nel processo VMX che incapsula ogni macchina virtuale guest.

In una FAQ, VMware ha classificato le due falle come modifiche di emergenza, secondo la definizione della IT Infrastructure Library (un’altra vulnerabilità, CVE-2024-2225, è stata invece classificata con un punteggio di 7.1). I controller USB virtuali sono la fonte del problema per queste tre falle e la soluzione consiste nel rimuoverli dalle macchine virtuali.

server jenkins

Tuttavia, la stessa VMware ammette che questa operazione potrebbe non essere fattibile in scala, dal momento che alcuni sistemi operativi supportati richiedono l’USB per l’accesso a tastiera e mouse tramite la console virtuale. La perdita della funzionalità USB passthrough potrebbe essere un’altra conseguenza indesiderata.

“Detto questo, la maggior parte delle versioni di Windows e Linux supporta l’uso del mouse e della tastiera PS/2 virtuali”, si legge nelle FAQ e la rimozione di dispositivi non necessari come i controller USB è raccomandata come parte della guida al rafforzamento della sicurezza pubblicata da VMware.

Infine è stata segnalata anche la CVE-2024-22254, una vulnerabilità per la quale un attore malintenzionato con privilegi all’interno del processo VMX può innescare una scrittura fuori dai limiti, portando a una sandbox escape.