Aggiornamenti di sicurezza in diversi prodotti VMware

23/11/2018

Security Update VMware VMware Fusion VMware VDP VMware vSphere VMware Workstation Vulnerabilità

VMware ha rilasciato due aggiornamenti di sicurezza che correggono vulnerabilità critiche che determinano l’esecuzione di codice su noti prodotti dell’azienda.

Stando agli avvisi VMSA-2018-0029  e VMSA-2018-0030 del produttore i prodotti affetti sono:

  • vSphere Data Protection (VDP) versioni 6.0.x e 6.1.x
  • VMware Workstation Pro / Player (Workstation) versioni 14.x e 15.x
  • VMware Fusion Pro, Fusion (Fusion) versioni 10.x e 11.x

Descrizione delle vulnerabilità

  1. La CVE-2018-11066 (remote code execution vulnerability) che affligge VDP permette l’esecuzione di codice remoto da parte di un utente non autenticato.
  2. La CVE-2018-11067  (open redirection vulnerability) che affligge VDP permette a un attaccante remoto di reindirizzare gli utenti verso URLs arbitrari, inducendoli a cliccare su link che porta a pagine web malevole. La vulnerabilità potrebbe essere quindi utilizzata per attacchi di phishing.
  3. La CVE-2018-11076 (command injection vulnerability) che affligge VDP potrebbe permette a un utente malintenzionato l’esecuzione remota di comandi arbitrari con privilegi di root. La vulnerabilità risiede in un bug dell’utility “getlogs” di VDP.
  4. La CVE-2018-11077 (information exposure vulnerability) che affligge la Java management console di VDP potrebbe comportare l’esfiltrazione di informazioni da parte di un utente malitenzionato remoto. La vulnerabilità risiede nella possibilità di catturare la chiave privata SSL/TLS contenuta nel client java di gestione di VDP. Tale chiave può essere potenzialmente utilizzata da un attaccante non autenticato che si trova sullo stesso link di rete della vittima, per iniziare un attacco Man In The Middle sulla console di gestione degli utenti.
  5. La CVE-2018-6983 (integer overflow vulnerability) che affligge i dispositivi di rete virtuali di VMware Workstation e Fusion. Questa vulnerabilità  potrebbe consentire a un utente guest  di eseguire codice sull’host.

Soluzione

Applicare il software correttivo rilasciato dal vendor:

  • Per VDP 6.1.x  disponibili patch 6.1.9 e 6.1.10
  • Per VDP 6.0.x disponibili patch 6.0.9
  • Per Workstation 15.x disponibile patch 15.0.2
  • Per Workstation 14.x disponibile patch 14.1.5
  • Per Fusion 11.x disponibile patch 11.0.2
  • Per Fusion 10.x disponibile patch 10.1.5

Si suggerisce inoltre di applicare sempre le seguenti due regole:

  1. far girare tutto il software con utenze non privilegiate (o senza diritti amministrativi) in modo da ridurre gli effetti di un possibile attacco;
  2. applicare il principio del privilegio minimo affinchè ogni modulo del software acceda alle sole informazioni e risorse necessarie per i suoi scopi.

Approfondimenti

Per dettagli aggiuntivi dell’impatto delle vulnerabilità e versioni software coinvolte fare riferimento agli avvisi VMSA-2018-0029VMSA-2018-0030 emessi da VMware.