VMware, 12월 패치 화요일에 3가지 취약점 패치 적용

VMware는 이번 달 화요일 패치 화요일에 GeekPwn 2022 해킹 챌린지에서 악용된 가상 머신 이스케이프 결함(CVE-2022-31705)을 비롯한 여러 취약점에 대한 패치를 발표했습니다.

VMWare는 이 취약점에 CVSS 심각도 등급 9.3/10을 부여했으며, 가상 머신에 대한 로컬 관리자 권한을 가진 악의적인 공격자가 이 취약점을 악용하여 호스트에서 실행 중인 가상 머신의 VMX 프로세스로 코드를 실행할 수 있다고 경고했습니다.

CVE-2022-31705로 문서화된 이 VM 탈출 결함은 완전히 패치가 적용된 VMware Fusion, ESXi 및 Workstation 제품을 실행하는 시스템에서 Ant Security 연구원 Yuhao Jiang에 의해 악용되었습니다.

"ESXi에서는 익스플로잇이 VMX 샌드박스 내에 포함되어 있는 반면, Workstation 및 Fusion에서는 익스플로잇이 Workstation 또는 Fusion이 설치된 머신에서 코드 실행으로 이어질 수 있습니다."라고 VMware는 설명했습니다.

한편, CVSS 점수가 7.2인 중요 보안 업데이트는 VMware Workspace ONE Access and Identity Manager의 두 가지 취약점(CVE-2022-31700, CVE-2022-31701)을 해결합니다. CVE-2022-31700은 CVSS 점수가 7.2인 인증된 RCE 취약점이며, CVE-2022-31701은 심각도 등급이 5.3인 손상된 인증 버그입니다.

이 취약점의 영향을 받는 제품은 다음과 같습니다;
ESXi 8.0(ESXi 8.0a-20842819에서 수정됨)(ESXi 8.0a-20842819에서 수정됨)
ESXi 7.0(7.0U3i-20842708에서 수정됨)(7.0U3i-20842708에서 수정됨)
Fusion 버전 12.x(12.2.5에서 수정됨)
16.x 워크스테이션(16.2.5에서 수정됨)
4.x/3.x Cloud Foundation(KB90336에서 수정됨)

또한 VMware는 명령 인젝션 및 디렉터리 통과 보안 취약점도 해결했는데, 이 두 가지 취약점은 모두 명령 인젝션을 허용하는 vRealize Network Insight 버전 6.2~6.7의 vRNI REST API에서 심각도(CVSS v3: 9.8)가 심각한 CVE-2022-31702로 추적되는 취약점입니다. 또한 위협 행위자가 서버에서 임의의 파일을 읽을 수 있도록 허용하는 심각도가 낮은(CVSS v3: 7.5) 디렉터리 트래버스 결함인 CVE-2022-31703도 있습니다.

이 글의 출처는 SecurityAffairs의 기사입니다.

요약

기사 이름

VMware, 세 가지 중요 취약점 패치

설명

VMware는 가상 머신 이스케이프 결함(CVE-2022-31705)을 비롯한 여러 취약점에 대한 패치를 릴리스했습니다.

작성자

오반라 오페예미

게시자 이름

TuxCare

게시자 로고