کشف آسیب‌پذیری‌های افزایش سطح دسترسی در VMware Tools

شرکت VMware به‌تازگی وصله‌های امنیتی برای چندین آسیب‌پذیری مهم در ماژول vgauth منتشر کرده است که بخشی از مجموعه ابزارهای VMware Tools محسوب می‌شود. این آسیب‌پذیری‌ها که مهم‌ترین آن‌ها دارای امتیاز CVSS 7.8 است، به یک مهاجم محلی (Local Attacker) که از قبل به یک ماشین مجازی دسترسی محدودی دارد، اجازه می‌دهد تا سطح دسترسی خود را به بالاترین سطح ممکن (root در لینوکس یا SYSTEM در ویندوز) ارتقا دهد. با توجه به گستردگی استفاده از محصولات VMware، این نقص‌ها تهدیدی جدی برای امنیت زیرساخت‌های مجازی محسوب می‌شوند.

جزئیات آسیب‌پذیری چیست؟

• شناسه‌ها: CVE-2024-22271, CVE-2024-22272, CVE-2024-22273

• نوع تهدید: افزایش سطح دسترسی (Privilege Escalation)

• تأثیر: اجرای دستورات با سطح دسترسی کامل در سیستم‌عامل مهمان، امکان کنترل کامل ماشین مجازی

• نسخه‌های تحت تأثیر: نسخه‌های قدیمی‌تر VMware Tools در محصولات ESXi, Workstation و Fusion

• روش بهره‌برداری: ارسال درخواست‌های دستکاری‌شده به سرویس vgauth در ماشین مجازی.

• وضعیت: وصله امنیتی توسط VMware منتشر شده است. بهره‌برداری فعال گسترده گزارش نشده است.

• کشف‌کنندگان: این نقص‌ها توسط محققان امنیتی مجموعه Zero Day Initiative (ZDI) گزارش شده است.

نقص چگونه عمل می‌کند؟

بهره‌برداری از این آسیب‌پذیری‌ها در چند مرحله صورت می‌گیرد:

1. دسترسی اولیه: مهاجم ابتدا باید یک دسترسی سطح پایین و غیرمدیریتی به سیستم‌عامل مهمان (ماشین مجازی) پیدا کند.

2. ارتباط با سرویس مخرب: مهاجم با سرویس vgauth که مسئول مدیریت احراز هویت بین ماشین مجازی و میزبان است، ارتباط برقرار می‌کند.

3. سوءاستفاده از نقص: بسته به نوع آسیب‌پذیری، مهاجم می‌تواند:

   • فرآیند احراز هویت را دور بزند (CVE-2024-22271).

   • فایل‌های دلخواه را با سطح دسترسی بالا در سیستم ایجاد کند (CVE-2024-22272).

   • فایل‌ها و دایرکتوری‌های حساس سیستم را حذف کند (CVE-2024-22273).

4. کسب دسترسی کامل: موفقیت در هر یک از این مراحل می‌تواند به مهاجم اجازه دهد تا کنترل کامل ماشین مجازی را به دست گیرد.

وضعیت فعلی تهدید

تا لحظه انتشار این گزارش، بهره‌برداری فعال و گسترده‌ای از این آسیب‌پذیری‌ها مشاهده نشده است. با این حال، VMware شدت این نقص‌ها را "مهم" (Important) ارزیابی کرده است. با توجه به اینکه جزئیات فنی آن‌ها منتشر شده، انتظار می‌رود مهاجمان به‌زودی تلاش برای ساخت ابزارهای بهره‌برداری (Exploits) را آغاز کنند. سازمان‌هایی که فرآیند به‌روزرسانی را به تعویق بیندازند، در معرض خطر جدی قرار خواهند گرفت.

چگونه از خود محافظت کنیم؟

• به‌روزرسانی فوری: VMware Tools را در تمام ماشین‌های مجازی خود فوراً به نسخه 12.4.1 یا نسخه‌های جدیدتر ارتقا دهید. وصله‌ها برای نسخه‌های قدیمی‌تر (11.x.x و 10.x.x) نیز منتشر شده است.

• محدود کردن دسترسی کاربران: اصل "حداقل دسترسی لازم" (Principle of Least Privilege) را برای کاربران ماشین‌های مجازی اعمال کنید تا ریسک دسترسی اولیه مهاجمان کاهش یابد.

• نظارت بر لاگ‌ها: لاگ‌های سیستم‌عامل مهمان را برای هرگونه فعالیت مشکوک مربوط به سرویس vgauth یا تلاش برای دسترسی غیرمجاز به فایل‌های سیستمی بررسی کنید.

چرا این تهدید مهم است؟

اهمیت این تهدید در گستردگی استفاده از VMware Tools نهفته است. این ابزار تقریباً روی تمام ماشین‌های مجازی نصب می‌شود تا عملکرد و یکپارچگی آن‌ها با سیستم میزبان را بهبود بخشد. آسیب‌پذیری در چنین جزء فراگیری به معنای وجود یک سطح حمله بسیار بزرگ در دیتاسنترها و محیط‌های توسعه است. حملات افزایش سطح دسترسی یک تکنیک کلیدی در زنجیره حملات سایبری است که به مهاجمان اجازه می‌دهد از یک جای پای کوچک، به کنترل کامل یک سیستم و حتی کل شبکه دست پیدا کنند.