Resne varnostne ranljivosti v USB krmilnikih VMware hipervizorjev

Zaščita ESXi gostiteljev je ključnega pomena za zagotavljanje zaupnosti, celovitosti in razpoložljivosti navideznih okolij ter preprečevanje vdorov v podatke, izpadov in neskladnosti s predpisi. Ob pogostem spreminjanju konfiguracij v navideznih okoljih s strani administratorjev, kako vzdržujete in izboljšujete svoje varnostno stanje? Ta vprašanja postajajo vse pomembnejša za vse IT varnostne strokovnjake, ki upravljajo VMware izdelke. Ker se grožnje neprestano razvijajo in se pojavljajo novi izzivi, je bistveno, da ostanete previdni in proaktivni pri svojih varnostnih praksah.

Kritične ranljivosti razkrite s strani Broadcoma

Nedavno je Broadcom v varnostnem obvestilu razkril štiri kritične ranljivosti, ki bi lahko napadalcem omogočile obhod peskovnika in zaščite hipervizorja v vseh različicah izdelkov VMware ESXi, vključno s tistimi, ki niso več podprte. Napadalec s privilegiranim dostopom (root ali administrator) do gostujočega operacijskega sistema znotraj navideznega stroja (VM) bi lahko izkoristil te ranljivosti za pridobitev dostopa do hipervizorja. Glede na kritično vlogo, ki jo igrajo hipervizorji v podjetjih, te ranljivosti predstavljajo resno tveganje.

Razumevanje okolja

Fizični gostitelj lahko zažene več neodvisnih navideznih gostujočih strojev, ki so med seboj in od gostitelja izolirani. Te navidezne stroje, ki izkoriščajo fizične vire gostitelja, upravlja hipervizor, kot je VMware ESXi.

Peskovnik je nadzorovano in izolirano okolje, v katerem delujejo navidezni stroji in je oblikovano za omejevanje zmožnosti strojev za interakcijo z gostiteljevim sistemom ali drugimi navideznimi stroji zunaj določenih, predvidenih interakcij.

Obseg ranljivosti

Ranljivosti, ki jih je razkril Broadcom, se nanašajo na pomanjkljivosti v USB krmilnikih, ki bi lahko napadalcem omogočile ogrožanje zaščite peskovnika in hipervizorja v vseh različicah VMware izdelkov ESXi in Cloud Foundation. Te ranljivosti so še posebej zaskrbljujoče, ker ogrožajo eno od glavnih funkcij VMware izdelkov: varno izolacijo občutljivih operacij znotraj navideznih strojev, proč od gostiteljskega računalnika.

Proaktivni ukrepi z Entrust CloudControl

Navidezne in oblačne tehnologije so prinesle nove zmogljivosti za avtomatizacijo, hitrejši vstop na trg in prilagodljivost IT, hkrati pa so povečale potrebo po varnosti hipervizorjev. Entrust CloudControl igra ključno vlogo pri zajemanju ključnih podatkov za skladnost, forenziko in odpravljanje težav ter prepoznavanju napak v konfiguraciji hipervizorja v VMware vSphere za trajno skladnost.

CloudControl ponuja obsežen nabor zmožnosti, vključno z zmožnostjo samodejnega onemogočanja USB krmilnikov na navideznih strojih po vseh gostiteljskih ESXi. To funkcijo je mogoče uporabiti za omilitev vseh ranljivosti, opisanih v varnostnem obvestilu VMSA-2024-0006, s hitrim odstranitvijo USB krmilnikov iz vseh navideznih strojev, kot je opisano v KB96682, v pričakovanju zakrpanja vseh strojev ESXi.

Drugič, CloudControl lahko zagotovi, da so bili pravilno uporabljeni popravki, ki odpravljajo ranljivosti, na vseh gostiteljih ESXi. To zamudno operacijo je mogoče upravljati s pomočjo CloudControl, ki zagotavlja, da so bile te ranljivosti odpravljene po celotni navidezni infrastrukturi.

Ko CloudControl izvede to preverjanje, bo mogoče ponovno aktivirati USB krmilnike na vseh navideznih strojih.

V nenehno spreminjajočem se varnostnem okolju ostaja vsaka komponenta vaše IT infrastrukture izpostavljena morebitnim grožnjam. Pomembno je, da ste obveščeni o najnovejših varnostnih izzivih. Uvajanje proaktivnih varnostnih ukrepov in nenehno spremljanje ranljivosti je ključnega pomena za zagotavljanje, da vaša VMware okolja ostanejo varna, odporna in zaupanja vredna. Orodja za samodejni nadzor in odpravljanje težav, kot je Entrust CloudControl, lahko znatno izboljšajo vaše splošno varnostno stanje.


Discover more from KrofekSecurity

Subscribe to get the latest posts sent to your email.

Leave a Reply

Your email address will not be published. Required fields are marked *