Im Xen-Hypervisor von Citrix könnten Angreifer eine Schwachstelle missbrauchen, um die Kontrolle über ein betroffenes System zu übernehmen, warnt die US-amerikanische Cyber-Sicherheitsbehörde CISA. Mit aktualisierten Softwarepaketen dichtet der Hersteller die Lücke sowie vier weitere ab.

Die Lücke, durch die Angreifer aus paravirtualisierten virtuellen Maschinen auf den Host ausbrechen könnten, schätze man jedoch als komplex ein, schreibt Citrix in einer Sicherheitsmeldung. Es gibt die Unterscheidung zwischen Hardware Virtual Machine (HVM) und Paravirtualisierung (PV). Bei HVM weiß das Gastsystem nichts von der Virtualisierung, dafür unterstützen sie inzwischen moderne CPUs mit ihren erweiterten Befehlssätzen. PV-Maschinen hingegen nutzen speziell angepasste Kernel, um bessere Performance zu erreichen.

Verwundbarer Hypervisor

Der Fehler basiert auf einer Race-Condition bei dem Nachschlagen einer Type-Reference für Pages. Im paravirtualisierten Modus dürfen VM-Gäste nicht direkt auf Page-Tables zugreifen, sondern Xen filtert aus Sicherheitsgründen und arbeitet mit einer zweiten Page-Table. Durch Fehler in der Zugriffslogik kann ein Gast fälschlicherweise seine Rechte ausweiten und dadurch das System übernehmen (CVE-2022-26362, CVSS 6.4, Risiko "mittel").

Die Aktualisierungen schließen zudem Sicherheitslücken, die speziell Intel-Prozessoren betreffen. Durch die Fehler könnte die CPU-Hardware Code in Gastsystemen erlauben, auf kleine Bereiche des Speichers zuzugreifen, die an anderen Stellen im System aktiv genutzt werden (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166). Zwar sei das kein Fehler im Hypervisor, merkt Citrix an, jedoch enthalten die Hotfixes Anpassungen, um diese CPU-Probleme zu beheben.

Die Hotfixes heben die Software auf Versionsstand Citrix XenServer 7.1 CU2 LTSR (Hotfix XS71ECU2075) respektive Citrix Hypervisor 8.2 CU1 LTSR (Hotfix XS82ECU1012). Da die CISA vor der Schwachstelle warnt, sollten Administratoren, die Intel-CPUs oder Paravirtualisierung nutzen, die Aktualisierungen rasch herunterladen und installieren.

Lesen Sie dazu auch: Themenseite zu Xen auf heise online

(dmk)