VMware закрыла RCE-уязвимость в ESXi и Horizon

09 декабря 2019 г., понедельник

Об угрозе стало известно на турнире Tianfu Cup, участники которого применили эксплойт для побега из виртуальной машины.

Разработчики VMware выпустили патчи к уязвимостям, о которых стало известно на хакерском турнире Tianfu Cup. Участники ноябрьских состязаний взломали аппаратный гипервизор ESXi, получив возможность выполнить сторонний код в целевой системе.

Эксплойт принес этичным хакерам $200 тыс., что стало крупнейшим призом по итогам состязаний. Информацию о существующей ошибке сразу передали представителям VMware. Позже уязвимость получила идентификатор CVE-2019-5544 с критической оценкой уровня угрозы — 9,8 балла по шкале CVSS.

Разработчики выяснили, что проблема касается систем ESXi версий 6.0, 6.5 и 6,7, а также платформы Horizon 8.x, которая используется для запуска DaaS-решений (Desktop-as-a-Service, создание виртуальных рабочих столов). Технически угроза оказалась связана с модулем OpenSLP. Свободная реализация протокола обнаружения сервисов используется в данных продуктах, чтобы находить ресурсы в корпоративных сетях.

По словам представителей VMware, уязвимость относится к классу переполнения буфера кучи. Злоумышленник с сетевым доступом к порту 427 на хосте ESXi или Horizon DaaS может перезаписать данные динамической памяти и выполнить собственный код.

На данный момент разработчики опубликовали патчи для всех версий ESXi. Администраторам Horizon предлагается временное решение — вендор утверждает, что оно не влияет на технические возможности платформы, но рекомендует не откладывать обновление, когда заплатка будет опубликована.

Пользователи ESXi, которые не могут оперативно установить патч, также могут застраховаться от атаки, отключив SLP-функциональность. После этого клиенты, которые подключаются к серверам через порт 427, не смогут использовать соответствующую службу.

Первый турнир Tianfu Cup прошел в 2018 году, вскоре после запрета китайским хакерам участвовать в международных мероприятиях. До этого команды из КНР стабильно занимали на профессиональных турнирах лидерские позиции — например, на Pwn2Own-2017 они взяли пять из семи наград, включая рекордные 105 тыс. долларов за взлом виртуальной машины VMware.

Threatpost