하이퍼바이저는 가상 머신과 하드웨어 사이에 불가침의 격리 계층을 제공해야 합니다. 그러나 Broadcom 하이퍼바이저의 선두주자인 VMware는 어제 자사의 하이퍼바이저가 사용자가 원하는 만큼 보호되지 않는다고 밝혔습니다.

~에 보안상담 Broadcom의 사업부는 네 가지 단점을 경고했습니다.

최악의 두 가지인 CVE-2024-22252 및 22253은 VMware의 Workstation 및 Fusion 데스크톱 하이퍼바이저에서 9.3/10, ESXi Server 하이퍼바이저에서 8.4로 평가되었습니다.

이 결함은 가상 머신에 대한 로컬 관리 권한을 가진 악의적인 행위자가 이 문제를 악용하여 게스트 외부에서 코드를 실행할 수 있다는 것을 의미하기 때문에 이러한 등급을 받았습니다. Workstation 및 Fusion에서 이 코드는 호스트 컴퓨터 또는 Mac에서 실행됩니다. ESXi에서는 각 게스트 VM을 포함하는 VMX 프로세스에서 실행됩니다.

~에 지침VMware는 IT 인프라 라이브러리에서 정의한 대로 두 가지 결함을 긴급 변경으로 분류했습니다.

또 다른 Vuln인 CVE-2024-2225의 평점은 7.1입니다.

결함에 대한 해결 방법은 현재 지원되지 않는 VMware의 주요 서버 가상화 플랫폼 버전인 vSphere 6.x에도 적용됩니다.

가상 USB 컨트롤러는 위에서 언급한 세 가지 일반적인 위협에 대한 문제의 원인입니다. VM웨어 대체 솔루션 가상 머신에서 버그가 제거되었기 때문입니다.

그러나 VMware의 FAQ에서는 “일부 지원 운영 체제에서는 가상 콘솔을 통한 키보드 및 마우스 액세스를 위해 USB가 필요”하기 때문에 “규모에 따라 실행 가능하지 않을 수 있다”고 인정합니다. USB 패스스루 기능의 상실은 또 다른 바람직하지 않은 결과일 수 있습니다.

FAQ에서는 “그러나 대부분의 Windows 및 Linux 버전은 PS/2 가상 마우스 및 키보드 사용을 지원합니다.”라고 FAQ에 덧붙였으며, VMware에서 게시한 보안 강화 지침의 일부로 USB 컨트롤러와 같은 필수적이지 않은 장치를 제거하는 것이 권장됩니다.

설상가상으로 VMware는 VMX 프로세스 내에서 권한을 가진 악의적인 행위자가 범위를 벗어난 쓰기를 트리거하여 샌드박스 이스케이프를 발생시킬 수 있는 범위를 벗어난 쓰기 취약점인 CVE-2024-22254에 대해서도 권고했습니다. .

READ  이번 주말에 PlayStation, Xbox 및 Nintendo 기프트 카드를 최대 20% 할인받을 수 있습니다.

호스트-게스트 탈출은 가상화의 최악의 경우입니다. 이는 중요해 보이지만 공격자가 가상 ​​머신 전체를 제어할 수 있는 완전한 하이퍼바이저 인수에는 부족합니다.

흥미롭게도 일부 결함은 2023년 Tianfu Cup Pwn 대회(중국의 공격적인 Pwn2Own infosec 페스티벌과 동일)에서 연구원들에 의해 발견되었습니다.

VMware는 대회 참가자인 Alibaba 자회사인 Team Ant Lab의 Jiang YuHao, Ying XingLei 및 Zhang ZiMing과 Team CyberAgent의 VictorV & Wei에게 감사를 표했습니다. Qi'anxin Group의 Legendsec 팀 TianGong의 Jiaqing Huang과 Hao Zheng도 독립적으로 몇 가지 결함을 발견한 데 대해 감사를 표합니다. ®

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like

Galaxy S23과 함께 데뷔한 Samsung One UI 5.1 업데이트가 테스트 중입니다.

삼성 Galaxy S23 출시 준비 시리즈, 발표는 2월 1일에 할 수 있습니다.…

Apple 셀프 서비스 수리를 통해 사용자는 자신의 기기를 수리할 수 있습니다.

애플은 수요일 애플 제품용 부품을 내년 초부터 구매할 수 있도록 하는 새로운…

포켓몬고 선수들은 생일날 아이와 팬들이 ‘신’이라는 단어를 주고받으며 기뻐한다.

제시카 필비 ❘ 출판됨: 2023-11-13T11:44:27 ❘ 업데이트됨: 2023-11-13T11:44:37 Pokemon Go 플레이어가 친구의…

비디오 게임 산업은 ‘불황 증거’가 아니며 2022년 매출 감소 예정

PlayStation 5 로고는 폴란드 크라쿠프의 한 매장에서 촬영되었습니다. 노포토 | 게티 이미지…