Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.
Очень похожая уязвимость с идентификатором CVE-2024-22253 присутствует также в коде контроллера UHCI USB, она имеет такую же оценку опасности по шкале CVSS и также может приводить к выполнению произвольного кода на хосте. Чуть менее опасная уязвимость CVE-2024-22255, также обнаруженная в контроллере UHCI USB, оценена в 7,1 балла и может приводить к утечке данных. Отдельный патч получила уязвимость CVE-2024-22254 в решении VMware ESXi, также позволяющая совершать побег из виртуального окружения.
Патчи получили VMware Workstation 17.x, Fusion 13.x, решения ESXi версий 7.0 и 8.0. Уязвимости также присутствуют в VMware ESXi версий 6.7 и 6.5, но патчи для них доступны только клиентам с подпиской на расширенную поддержку этих устаревших релизов. Между тем команда Shadowserver сети на доступность серверов VMware ESXi с непропатченной уязвимостью CVE-2024-22252 и по состоянию на 11 марта обнаружила 16,5 тысяч уязвимых инсталляций.
Что еще произошло
Эксперты «Лаборатории Касперского» отчет об эволюции спама и фишинговых атак в 2023 году. Другая публикация специалистов «Лаборатории Касперского» разбирает нестандартный случай, когда в ходе кибератаки для подключения к командному серверу использовался эмулятор QEMU. Эмулятор запускался без подключенного виртуального жесткого диска или LiveCD, но была задействована встроенная фича, позволяющая поднять сетевое соединение между двумя виртуальными машинами.
Три серьезных уязвимости в сетевых файловых хранилищах QNAP. Из них наиболее опасна уязвимость CVE-2024-21899, позволяющая обойти систему авторизации удаленно.
5 марта компания Apple выпустила обновления iOS/iPadOS до версии 17.4. В этом патче две активно эксплуатируемые уязвимости в ядре и компоненте RTKit, позволяющие выполнить код с максимальными привилегиями. Патчи также выпущены для iOS 16.
На прошлой неделе широко обсуждалась новая фича в соцсети X/Twitter. В приложении X теперь можно осуществлять аудио- и видеозвонки, причем подключение между двумя абонентами выполняется напрямую. В результате появляется возможность позвонить произвольному пользователю и таким образом его IP-адрес. Отдельно доступна опция Enhanced Call Privacy, при которой связь осуществляется через серверы X, и таким образом IP-адрес абонента не раскрывается. Для исключения неприятных сюрпризов во множестве публикаций в сети функцию звонков рекомендуют отключить.
Интересная (и ее на Хабре) рассказывает об опыте разработки сервиса для сокращения ссылок, точнее о том, как им сразу же попытались воспользоваться злоумышленники для повышения эффективности фишинговых атак. В итоге изначально бесплатный сервис решено было сделать платным, что отсекло подавляющее большинство кибермошенников. Отчасти похожий сценарий описан и в новости: киберпреступники использовали облачное решение для хранения заметок, сохраняя и распространяя через него вредоносный код.
