VMware avertit de l’existence de quatre vulnérabilités dans divers hyperviseurs. Grâce à ces vulnérabilités, les pirates peuvent accéder à votre environnement physique via l’environnement virtuel.
VMware annonce avoir découvert quatre vulnérabilités qui pourraient affecter plusieurs de ses hyperviseurs. Plus précisément, il s’agit de VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion Pro / Fusion (Fusion) et VMware Cloud Foundation (Cloud Foundation). Deux de ces vulnérabilités sont qualifiées de très graves et l’entreprise invite donc ses clients à remédier à la situation dans les meilleurs délais.
Un hyperviseur crée une « couche d’isolation » entre une machine virtuelle et l’hôte physique sur lequel la machine virtuelle est exécutée. Ce système est censé garantir que les activités de la machine virtuelle ont le moins d’impact possible sur l’hôte. Mais les vulnérabilités provoquent un effet inverse, faisant de l’hyperviseur une simple passerelle entre la machine virtuelle et l’appareil. Un pirate peut ainsi exécuter un code malveillant à partir de la machine virtuelle sur l’appareil hôte. Par exemple, un PC ou un Mac fonctionnant sous Windows.
USB virtuel
Trois des quatre vulnérabilités sont dues aux contrôleurs USB virtuels, explique VMware. Il est possible de les supprimer d’une machine virtuelle, car cela désactiverait également les contrôles de la souris et du clavier. Selon VMware, cette solution de contournement « n’est pas réalisable à grande échelle ». Comme la plupart des versions de Windows et de Linux prennent en charge l’utilisation d’une souris et d’un clavier PS/2 virtuels, la suppression du contrôleur USB n’a que peu ou pas d’impact.
Pour résoudre complètement le problème, VMware recommande aux clients de mettre à jour leurs hyperviseurs avec la dernière version prise en charge. Un conseil toujours utile en cas de vulnérabilité. VMware donne un aperçu des versions sûres pour chaque type d’hyperviseur.
Fin février, VMware a également révélé deux vulnérabilités dans un module d’extension pour vCenter Server. La portée de ces vulnérabilités était beaucoup plus limitée, car il s’agissait d’un plug-in obsolète et il suffisait de le désinstaller pour y remédier. La vulnérabilité en question maintenant risque de faire beaucoup plus de victimes si les clients n’agissent pas rapidement.