VMware Avi Load Balancer: Rechteausweitung zu root möglich
Im Load Balancer VMware Avi können Angreifer ihre Rechte erhöhen oder unbefugt auf Informationen zugreifen. Updates korrigieren das.
Sicherheitslücken in VMware-Produkten gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
VMware warnt vor Sicherheitslücken im VMware Avi Load Balancer. Angreifer können dadurch ihre Rechte im System ausweiten oder unbefugt auf Informationen zugreifen. Aktualisierte Software bügelt die sicherheitsrelevanten Fehler aus.
Wie VMwares Entwickler in der Sicherheitsmitteilung erklären, können bösartige Akteure mit Administratorrechten im VMware Avi Load Balancer Dateien als root-Nutzer im Host-System erstellen, verändern, ausführen und löschen (CVE-2024-22264, CVSS 7.2, Risiko "hoch"). Zudem landen offenbar Zugangsdaten zu Cloud-Konten in den Systemprotokollen. Angreifer mit Zugriff auf die System-Logs könnte so unbefugt an diese sensiblen Informationen gelangen (CVE-2024-22266, CVSS 6.5, "mittel").
Verwundbare VMware Load Balancer
Die Autoren der Sicherheitswarnung schreiben, dass VMware Avi Load Balancer 22.1.x und 30.x.x von der Rechteausweitung-Schwachstelle betroffen sind. Das Informationsleck betrifft hingegen lediglich den 30er-Versionszweig.
Die jetzt verfügbaren Versionen VMware Avvi Load Balancer 22.1.6 sowie 30.2.1 dichten die Sicherheitslecks ab. IT-Verantwortliche sollten sie zeitnah herunterladen und anwenden, um die Angriffsfläche zu minimieren. VMware-Produkte gehören erfahrungsgemäß zu den beliebteren Angriffszielen von Cyberkriminellen.
Im März hatten die Entwickler in VMware ESXi, Fusion und Workstation Sicherheitslecks geflickt, durch die Angreifer aus den virtuellen Maschinen ausbrechen konnten. Das Risiko stuften sie als "hoch" ein.
Mit der Übernahme von VMware durch Broadcom und dem daran angeschlossenen Umbau des Unternehmens sowie der Lizenz- und Partnermodelle kam es zu Verstimmungen bei Kunden und Partnern. Inzwischen geht Broadcom aber etwas auf die Teilnehmer des Cloud-Partnerprogramms zu. Die sahen nach der einseitigen Aufkündigung des Partnerprogramms aufgrund deutlich höherer Kosten ihr Geschäft bedroht und gingen damit auch an die Öffentlichkeit.
(dmk)