Kritische Schwachstellen in VMware-Produkten (5. März 2024)

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch ein kurzer Nachtrag von letzter Woche. Ich hatte kürzlich über Aktualisierungen von VMware-Produkten berichtet. Nun hat VMware in einem Sicherheitshinweis bestimmte Schwachstellen in seinen Virtualisierungsprodukten als kritisch eingestuft. Es sollte also zügig gepatcht werden, sofern noch nicht erfolgt. Ergänzung: Gerade gesehen, in Deutschland sind wohl ca. 1.800 VMware ESXi-Installationen potentiell betroffen.


Anzeige

Im Blog-Beitrag VMware Produktportfolio: Interna der Lizenzierung; und Lenovo ist seit 27. Feb. 2024 raus hatte ich über Updates bei VMware Workstation und Player auf die Version 17.5.1 berichtet. VMware hatte die Release Notes hier dazu veröffentlicht. Norddeutsch wies im Diskussionsbereich auf das VMware Security-Advisory 2024-0006 hin. In einem Update vom 5. März 2024 geht es um die Schwachstellen CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 und CVE-2024-22255. VMware hat Sicherheitsupdates zum Schließen dieser Schwachstellen in VMware ESXi, Workstation und Fusion veröffentlicht.

Norddeutsch wies darauf hin, dass jetzt von kritischen Schwachstellen gesprochen werde, während vorher die selbe Schwachstelle CVE-2024-22251 als moderate eingestuft wurde. Es gibt nun vier neue severe oder critical CVEs: 22252, 22253, 22254, 22255 für folgende VMware-Produkte:

ESXi, Workstation Pro/Player, Fusion/Pro, Cloud Foundation

und folgende Schwachstellen:

  • Use-after-free XHCI USB controller (CVE-2024-22252)
  • Use-after-free UHCI USB controller (CVE-2024-22253)
  • ESXi Out-of-bounds write (CVE-2024-22254)
  • Information disclosure UHCI USB controller (CVE-2024-22255)

Die Schwachstelle CVE-2024-22254 (Out-of-bounds write) in ESXi-Server ermöglicht einem Angreifer mit VMX-Prozessprivilegien, außerhalb des festgelegten Speicherbereichs (Bounds) zu schreiben, was zu einem Ausbrechen aus der Sandbox führen kann.


Anzeige

Wie schrieb Norddeutsch: "Ergo wusste VMware schon zum 27.2.2024 von dieser Kritikalität … und wartete mal eben 10 Tage." Betroffen sind alle ESXi Versionen von 6.5, 6.7, 7.0, 8.0 ; Workstation 17.x ; Fusion 13.x und VCF 3.x. Die Kollegen von Bleeping Computer hatten hier ebenfalls darüber berichtet – ich war aber unterwegs und konnte nicht reagieren.

Schwachstelle CVE-2024-22252 trifft Systeme

Ergänzung: Gerade gesehen, dass ShadowServer eine Statistik zu ESXi-Systemen, die von der Version her über die Schwachstelle CVE-2024-22252 angreifbar sind, veröffentlicht hat. Im Tweet heißt es:

We are scanning & sharing VMware ESXi instances which have vulnerabilities that could allow a malicious actor with local admin privileges to escape sandbox protections – vmware.com/security/advis Tagged as "cve-2024-22252". Based on version checks, we see ~16.5K vulnerable.

In Deutschland sind wohl ca. 1.800 VMware ESXi-Installationen potentiell betroffen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Virtualisierung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Kritische Schwachstellen in VMware-Produkten (5. März 2024)

  1. Michael sagt:

    Alle diese Schwachstellen betreffen den USB Controller. Der wird wohl in den wenigsten Fällen (Workstation mal ausgenommen) tatsächlich benötigt und sollte entfernt werden, u.a. weil er wiederholt Sicherheitslücken hatte.
    Übrigens auch die Herstellerempfehlung: "removing unnecessary devices such as USB controllers is recommended as part of the security hardening guidance VMware publishes."

    Wer das konsequent umgesetzt hat lebt stressfreier :)

  2. Singlethreaded sagt:

    Gestern die Version 7.0U3p von ESXi auf drei Servern installiert. Keine Probleme oder Auffälligkeiten.

    • Stephan sagt:

      Hey Singlethreaded,
      wo hast du die Version den gefunden? Ich sehe für vCenter die 7.0U3p, aber für den ESXI gibt es nur 7.0U3n als neusten Download.
      Gerne den Link posten.

  3. Mr.Blacksmith sagt:

    VMWare wurde mit der Übernahme eingestampft und spielt keinerlei relevante Rollen mehr!

    Proxmox!

    Und bereits schon geärgert, das nicht bereits früher drauf gehämmert zu haben!

    Performance? Gefühlt um den Faktor 3 besser! Configs wie HA-Cluster? In 3 Minuten konfiguriert ohne weitere "Lizenzkosten"!

    Wirklich mal eben auf vier Kontinenten je drei neue Server in je 2-3 Location geschickt und einstöpseln lassen und keine Woche später: Knapp 300 VMs auf Proxmox migriert.

    Mit den ersparten Lizenzkosten will die GF nun jedem willigen MA einen Firmenwagen zur Verfügung stellen! DAS nenne ich mal eine WIN-WIN-Situation…;-).

    Tschau, VMWare…;-).

    • Jan sagt:

      Morgen,

      man hört jetzt immer öfter Proxmox hier das macht mich schon neugierig.
      Wie sieht es im Bereich Backup aus?
      ist es kompatibel mit z.b. Veam?
      Kann man die Maschinen einfach integrieren oder muss man die neu aufsetzen?
      Kann ich auch da VMs im laufenden Betrieb hin und her schieben bzw im laufenden Betrieb den Speicher ändern?

      • Günter Born sagt:

        Schau dir den Artikel zu Proxmox an bzw. suche im Blog nach Proxmox, gibt einige Beiträge, die auf deine Fragen eingehen.

        • Jan sagt:

          Danke für die Antwort,
          habe mir das mal durchgelesen (der Artikel mit Jochen) und komme zum Schluss das es sich nicht lohnt zu Proxmox zu migrieren.
          Obwohl Proxmox einige Vorteile hat und technisch wohl performanter ist, wäre eine Migration zu aufwendig und damit zu teuer für unsere Kunden. (Das Netz ist sehr eng mit VMWare verstickt und die Anzahl an VMs und virtuellen Servern ist groß). Unsere Kunden sind auch eher bereit die Kosten für VmWare zu tragen als umzustellen.

    • Andreas K. sagt:

      Vielleicht gibt es dann bald die nächste "ungewollte" Übernahme …

  4. Gerd sagt:

    Spannend auch: Das Patchpaket
    VMware-ESXi-7.0U3p-23307199-depot.zip
    enthält VMWare-Tools 12.2.6 aus August 2023… Man sollte also tunlichst hinterher noch
    VMware-Tools-12.3.5-core-offline-depot-ESXi-all-22544099.zip
    drüberschicken sonst hat man die eine Sicherheitslücke geschlossen und die andere wieder offen.

  5. Mucho sagt:

    Proxmox ist ja wohl gut fuer den "Privat" gebraucht oder fuer ein paar VMs im Unternehmen .

    Aber wenn man 1500 VMs in Production und Entwicklung betreibt und auf Support angewiesen ist ? Storage anbindung ?

    Proxmox Ehrlich jetzt ? Das schreibt auch nur einer der anderen nach dem Mund redet.

    Hyper-V haette eine Alternative sein koennen vor der AzureCloud aber zu VMWARE gibt es Stand heute keine Alternativen … einfach umziehen , welche IT soll das denn machen und in welcher Zeit ? Und wieviel soll das denn kosten ? Und welches Personal denn ?

    Man hat sich mit VMWARE mit Haut und Haaren an diese Infrastruktur gekettet und deshalb hat Broadcom auch den Laden gekauft . Das ist und bleibt eine Gelddruckmaschine bis es Alternativen gibt … aber die gibt es heute nicht .

    • Günter Born sagt:

      und wo ist dein Problem? Zahl doch und schau, wie Du das Geschäftsmodell mit den Kunden gewuppt bekommst. Aber erzähl doch nicht, dass dein spezieller Fall allgemein zutrifft.

    • T Sommer sagt:

      "Aber wenn man 1500 VMs in Production und Entwicklung betreibt und auf Support angewiesen ist ? Storage anbindung ?"
      Ich gehe mal davon aus, das Du dich auch beim Hersteller informiert hast. Selbstverständlich gibt es Support. Selbstverständlich kann man Storage anbinden – und das mit allen Möglichkeiten die Linux kann!
      Auch gibt es eine Community mit Forum – da wird jedem soweit möglich geholfen – sogar einem, der von Linux keine Ahnung hat.
      Der Umzug von ESXi Maschinen nach Proxmox ist gerade in der neusten Version scharf geschaltet worden – wenn ich das richtig gesehen von Test nach Produktiv innerhalb von 4 Wochen. Wer bietet mehr?
      VMWARE als Alternativlos zu preisen halte ich für ein ausgesprochenes Märchen!

    • Anonymous sagt:

      On Premises. Keine Abos. Fertig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.