En agissant dès maintenant, vous devancerez très certainement les nombreux cybercriminels curieux, étant donné qu’aucun des bugs corrigés dans cette mise à jour ne semble être une faille de sécurité zero-day.
CVE-2022-22040 et CVE-2022-22021 sont annotés avec le commentaire suivant : « un acteur malveillant disposant de privilèges d’administration locale sur une machine virtuelle peut exploiter ce problème pour exécuter du code en tant que processus VMX de la machine virtuelle s’exécutant sur l’hôte ».
La grande différence dans ce cas est que le logiciel de machine virtuelle est censé permettre à un ordinateur, connu sous le nom d’hôte, d’exécuter de nombreuses « machines invitées » qui sont inconscientes de la présence des autres, même si elles fonctionnent en fait sur le même matériel.
Par conséquent, tout bogue qui compromet la séparation de la cybersécurité entre les hôtes, ou même simplement entre les hôtes, doit toujours être considéré comme un risque sérieux pour la sécurité.
En d’autres termes, même si les contrôles généraux de sécurité de votre réseau protègent vos Edge Appliances des sondes directes provenant de l’internet, et que ce bogue ne peut donc être déclenché que par des « initiés » du réseau, la liste des initiés disposant d’un accès suffisant pour abuser de ce bogue peut être longue.
Si, pour une raison quelconque, vous ne pouvez pas appliquer les correctifs immédiatement, VMWare a publié une solution de contournement temporaire pour empêcher l’exploitation des bogues d’évasion guest-to-host, bien que cela implique de se passer de la prise en charge USB dans vos machines virtuelles invitées. Joyeux rapiéçage !
