CVE-2023-20867
VMware Tools
2023-06-23
VMware Tools contains an authentication bypass vulnerability in the vgauth module. A fully compromised ESXi host can force VMware Tools to fail to authenticate host-to-guest operations, impacting the confidentiality and integrity of the guest virtual machine. An attacker must have root access over ESXi to exploit this vulnerability.
Технический анализ и план устранения
Суть уязвимости
CVE-2023-20867 представляет собой уязвимость обхода аутентификации в модуле vgauth, входящем в состав VMware Tools. Проблема заключается в некорректной проверке сертификатов при выполнении операций между хостом и гостевой ОС (host-to-guest).
Злоумышленник, уже имеющий полный контроль над гипервизором ESXi (root-права), может принудительно заставить VMware Tools игнорировать проверку подлинности. Это позволяет выполнять команды внутри виртуальной машины или передавать файлы без надлежащей авторизации, что ведет к полной компрометации конфиденциальности и целостности гостевой системы.
Как исправить
Основным способом устранения уязвимости является обновление VMware Tools до актуальной версии на всех виртуальных машинах.
1. Для систем Windows: Необходимо обновить VMware Tools до версии 12.2.5 или выше.
2. Для систем Linux (использующих Open VM Tools): Необходимо обновить пакет через менеджер пакетов дистрибутива до версии 12.2.5 или выше.
Пример команды для систем на базе Debian/Ubuntu:
apt update && apt install --only-upgrade open-vm-tools
Пример команды для систем на базе RHEL/CentOS:
yum update open-vm-tools
3. Проверка текущей версии: Чтобы убедиться, что обновление применено, проверьте версию установленного ПО.
Для Windows (PowerShell):
get-item "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" | select-object VersionInfo
Для Linux:
vmtoolsd --version
Временные меры
Если немедленное обновление VMware Tools невозможно, необходимо сосредоточиться на защите инфраструктуры гипервизора, так как эксплуатация уязвимости требует наличия root-прав на хосте ESXi.
1. Ограничение доступа к ESXi: Минимизируйте количество учетных записей с правами администратора на хостах ESXi и используйте строгую аутентификацию (MFA).
2. Изоляция сети управления: Убедитесь, что интерфейс управления ESXi (Management Network) находится в изолированном VLAN и доступен только доверенным администраторам.
3. Мониторинг логов: Настройте сбор и анализ логов с хостов ESXi на наличие подозрительной активности, связанной с выполнением гостевых операций (VIX API / vSphere API).
4. Использование режима Lockdown Mode: Активируйте режим строгой изоляции (Strict Lockdown Mode) на хостах ESXi, чтобы запретить прямой доступ к оболочке (Shell) и минимизировать поверхность атаки.
vim-cmd hostsvc/hostconfig/lockdown/enter