Origine : bjCSIRT

Numéro : 2023/ALERTE/020

Date de l’alerte : 27/04/2023

APERÇU :

VMware a récemment publié des correctifs concernant quatre (04) vulnérabilités qui affectent les produits VMware Workstation et Fusion, des logiciels de virtualisation de postes de travail exécutant plusieurs systèmes d’exploitation. 

DESCRIPTION :

VMware Workstation et Fusion sont des hyperviseurs de type 2 qui exécutent de manière transparente des conteneurs, des machines virtuelles et des clusters Kubernetes. Ils permettent aux utilisateurs de configurer des machines virtuelles (VM) sur une seule machine physique et de les utiliser simultanément avec la machine hôte. 

Cependant, plusieurs vulnérabilités ont été identifiées, dont la plus critique, libellée CVE-2023-20869, est une vulnérabilité de dépassement de mémoire tampon basée sur la pile qui réside dans la fonctionnalité de partage de périphériques Bluetooth entre l’hôte et la machine virtuelle. Cette vulnérabilité permettrait à un acteur malveillant ayant des privilèges d’administrateur local d’exécuter du code en tant que processus VMX de la machine virtuelle s’exécutant sur l’hôte. 

Cette vulnérabilité est classée critique avec un score de 9.3. 

En outre, d’autres vulnérabilités ont également été découvertes dans les produits Vmware. Il s’agit des vulnérabilités suivantes : 

• CVE-2023-20870 : Divulgation d’informations dans la fonctionnalité de partage d’appareil Bluetooth ; 
• CVE-2023-20871 : Elévation des privilèges locaux de VMware Fusion Raw Disk via l’accès en lecture/écriture au système d’exploitation hôte ; 
• CVE-2023-20872 : Exécution de code sur l’hyperviseur à partir de la machine virtuelle à laquelle un lecteur de CD/DVD physique est connecté et configuré pour utiliser un contrôleur SCSI virtuel. 

IMPACT :

• Atteinte à la confidentialité des données
• Élévation de privilèges
• Exécution de code arbitraire

SYSTEMES AFFECTÉS : 

• VMware Workstation versions 17.x inférieures à 17.0.2 
• VMware Fusion versions 13.x inférieures à 13.0.2

MESURES À PRENDRE :

Il est recommandé de :

• mettre à jour Vmware Workstation à la version 17.0.2
• mettre à jour Vmware Fusion à la version 13.0.2 

REFERENCES :

• https://thehackernews.com/2023/04/vmware-releases-critical-patches-for.html  
• https://www.vmware.com/security/advisories/VMSA-2023-0008.html 
• https://www.cve.org/CVERecord?id=CVE-2023-20870 
• https://www.cve.org/CVERecord?id=CVE-2023-20871 
• https://www.cve.org/CVERecord?id=CVE-2023-20872