Уязвимость/vulnerability VMware Tools HGFS. Установка isolation.tools.hgfs.disable с PowerCLI.
На днях VMware выпустила VMware Tools 10.3.0 и VMware Security Advisory VMSA-2018-0017.
И эти два события взаимосвязаны — новые VMware Tools 10.3.0 устраняют уязвимость чтения в HGFS, связанную с локальным раскрытием информации.
ВАЖНО: VMware Tools 10.3 были отозваны, вместо них предлагается чтобы использовать VMware Tools 10.2.5. Как пишут в KB 57796, хосты ESXi могут выпасть в розовый экран (Purple Diagnostic Screen, PSOD), а гостевые ОС потерять сетевое соединение.
12.09.2018 выпущены VMware Tools 10.3.2, которые исправляют проблему версии 10.3.0
Проект Common Vulnerabilities and Exposures (cve.mitre.org) присвоил этой проблеме идентификатор CVE-2018-6969.
Проблема связана только с VMware host guest file system (HGFS), т.е. для эксплуатации этой проблемы необходимо, чтобы для ВМ общий доступ к файлам был включен. А включен он по умолчанию.
Следует отметить рекомендацию VMware: «В средах высокой безопасности вы можете отключить некоторые компоненты, чтобы минимизировать риск того, что злоумышленник может использовать гостевую файловую систему хоста (HGFS) для передачи файлов внутри гостевой операционной системы» Disable VMware Shared Folders Sharing Host Files to the Virtual Machine.
Т.е. для устранения уязвимости нужно либо обновить VMware Tools до версии 10.3.0, либо отключить HGFS, установив значение параметра isolation.tools.hgfs.disable в TRUE (при выключенной ВМ).
О способах обновления VMware Tools я писал в статьях:
Обновление VMware Tools с использованием VUM (Update Manager)
Использование PowerCLI для установки “Сheck and upgrade vmware tools before each power on”.
Проверить статус параметра isolation.tools.hgfs.disable можно с помощью PowerCLI:
Для конкретной ВМ:
Если вывод ничего не показывает, значит параметр не установлен (и ВМ, следовательно, уязвима).
Установим isolation.tools.hgfs.disable для всех ВМ
Установка параметра isol.tools.hgfsServerSet.disable для единичной ВМ длится около секунды. Поэтому если ВМ много, то операция может оказаться достаточно длительной.
Установка параметра для конкретной ВМ:
Оценим результат выполнения