עדכוני אבטחה דחופים

מיקרוסופט מעדכנת את אישורי האתחול המאובטח שהונפקו במקור בשנת 2011, כדי להבטיח שמכשירי Windows ימשיכו לאמת תוכנת אתחול מהימנה. תוקף האישורים הישנים האלה יפוג החל מיוני 2026. מכשירים שלא קיבלו את האישורים החדשים מ-2023 ימשיכו לפעול כרגיל, והעדכונים הרגילים של Windows ימשיכו להתקין. עם זאת, המכשירים האלה לא יוכלו יותר לקבל אמצעי הגנה חדשים לאבטחה של תהליך האתחול המוקדם, כולל עדכונים ל-Windows Boot Manager, למאגרי מידע של Secure Boot, לרשימות ביטול או לפתרונות לנקודות חולשה חדשות שמתגלות ברמת האתחול. בנוסף, תוקף האישורים של Secure Boot יפוג החל מיוני 2026, וזה ישפיע על מערכות Linux שמשתמשות ב-Secure Boot.

מה לעשות?

‫Google ממליצה ללקוחות לעדכן את מכונות ה-VM של Windows על ידי ביצוע הפעולות המתאימות, כפי שממליצה מיקרוסופט. הפצות כמו Ubuntu,‏ Red Hat ו-Fedora כבר פועלות כדי לספק חבילות מעודכנות שחתומות באמצעות המפתח החדש לשנת 2023. כדאי לעיין גם במסמכי Broadcom כדי לפתור שגיאות ואזהרות במכונות וירטואליות של VMware כשמועד התפוגה של אישורי Secure Boot מתקרב. אחרי יוני 2026, יכול להיות שיהיו כשלים במערכות שלא עודכנו בהן האישורים משנת 2023, במהלך התקנות של מערכות הפעלה חדשות או במהלך עדכון הקושחה הקיימת של טוען האתחול.

‫CVE-2026-31431, שנקראת גם Copy Fail, היא נקודת חולשה חמורה להסלמת הרשאות (LPE) מקומית בליבת Linux, שמאפשרת למשתמש לא מורשה לקבל גישת root. הפרצה נחשפה בסוף אפריל 2026, והיא נובעת מפגם לוגי במערכת המשנה הקריפטוגרפית של ליבת המערכת (algif_aead) שהוצגה בשנת 2017.

מה לעשות?

‫Google ממליצה ללקוחות להגן על מכונות וירטואליות של Linux Guest על ידי עדכון ליבת המערכת בכל המכונות הווירטואליות של Linux. הפצות מרכזיות פרסמו תיקונים או משיקות תיקונים.

לפי הייעוץ בנושא אבטחה VMSA-2025-0015 של VMware, ‏ נקודות חולשה רבות ב-VMware Aria Operations וב-VMware Tools דווחו באופן פרטי ל-Broadcom. יש תיקונים לנקודות החולשה האלה במוצרי Broadcom שמושפעים מהן.

פעולות מומלצות

מומלץ לשדרג ל-VMware Aria Automation 8.18.5 ול-VMware Tools 13.0.5.

• VMSA-2025-0015
• CVE-2025-41244
• CVE-2025-41245
• CVE-2025-41246

לפי הייעוץ בנושא אבטחה VMSA-2025-0013, דווחו באופן פרטי ל-Broadcom מספר נקודות חולשה ב-VMware ESXi.

כבר תיקנו את נקודות החולשה האלה או שאנחנו בתהליך של יישום התיקונים הנדרשים שסופקו על ידי Broadcom. אין פתרונות עקיפים ידועים לפגיעויות שדווחו.

אחרי ההתקנה של התיקון, פריסות VMware Engine צריכות להריץ ESXi 7.0U3w או ESXi 8.0U3f או גרסה מתקדמת יותר.

מה לעשות?

‫Google ממליצה ללקוחות לעקוב אחרי עומסי העבודה שלהם ב-VMware Engine כדי לזהות פעילויות חריגות.

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

לפי הייעוץ בנושא אבטחה VMSA-2024-0017 של VMware, נקודת חולשה של הזרקת SQL ב-VMware Aria Automation דווחה באופן פרטי ל-VMware. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Automation KB325790.

• VMSA-2024-0017
• CVE-2024-22280

לפי הייעוץ בנושא אבטחה VMSA-2025-0006 של VMware, דווח ל-VMware על נקודת חולשה מקומית של הסלמת הרשאות ב-VMware Aria Operations. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Operations 8.18 HF5.

• VMSA-2025-0006
• CVE-2025-22231

לפי הייעוץ בנושא אבטחה VMSA-2025-0003 של VMware, ‏ נקודות חולשה רבות ב-VMware Aria Operations for logs וב-VMware Aria Operations דווחו באופן פרטי ל-VMware. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Operations for Logs 8.18.3 ול-VMware Aria Operations לגרסה 8.18.3.

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

לפי הייעוץ בנושא אבטחה VMSA-2025-0008 של VMware, פרצת אבטחה XSS‏ (cross-site scripting) מבוסס DOM ב-VMware Aria Automation דווחה באופן פרטי ל-VMware. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג לתיקון 2 של VMware Aria Automation 8.18.1.

• VMSA-2025-0008
• CVE-2025-22249

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2025-0004 שמשפיעות על רכיבי ESXi שנפרסו בסביבות של לקוחות.

ההשפעה על VMware Engine

העננים הפרטיים שלכם כבר עודכנו או שהם בתהליך עדכון כדי לטפל בפגיעות האבטחתית. כחלק משירות VMware Engine, כל הלקוחות מקבלים מארחים ייעודיים של Bare Metal עם דיסקים מקומיים מצורפים שמבודדים פיזית מחומרה אחרת. המשמעות היא שהפגיעות מוגבלת למכונות וירטואליות של אורחים בענן הפרטי הספציפי שלכם בלבד.

העננים הפרטיים שלכם יעודכנו לגרסה 7.0u3s מספר Build 24534642. זה שווה ל-7.0U3s: מספר build‏ 24585291.

מה לעשות?

צריך לפעול לפי ההוראות של Broadcom ושל ספקי האבטחה שלכם בנוגע לפגיעות הזו.

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

לפי הייעוץ בנושא אבטחה VMSA-2025-0001 של VMware, ‏ נקודת חולשה של Server-Side Request Forgery (‏SSRF) בצד השרת ב-VMware Aria Automation דווחה ל-VMware באופן אחראי. יש תיקונים לנקודת החולשה הזו במוצרי VMware שמושפעים ממנה.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Automation 8.18.2 HF.

• VMSA-2025-0001
• CVE-2025-22215

לפי הייעוץ בנושא אבטחה VMSA-2024-0022 של VMware, דווחו ל-VMware מספר נקודות חולשה ב-VMware Aria Operations. יש עדכונים לתיקון נקודות החולשה האלה במוצר VMware שמושפע מהן.

מה לעשות?

מומלץ לשדרג ל-VMware Aria Operations 8.18.2.

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

לפי הייעוץ בנושא אבטחה VMSA-2024-0020 של VMware, דווחו ל-VMware מספר נקודות חולשה ב-VMware NSX.

הגרסה של NSX-T שפועלת בסביבת VMware Engine לא מושפעת מ-CVE-2024-38815,‏ CVE-2024-38818 או CVE-2024-38817.

מה לעשות?

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

לפי הייעוץ בנושא אבטחה VMSA-2024-0021 של VMware, ‏ נקודת חולשה של הזרקת SQL מאומתת ב-VMware HCX דווחה באופן פרטי ל-VMware.

יישמנו את אמצעי ההגנה שאושרו על ידי VMware כדי לטפל בפגיעות הזו. התיקון הזה מתייחס לנקודת חולשה באבטחה שמפורטת ב-CVE-2024-38814. גרסאות התמונה שפועלות בענן הפרטי של VMware Engine לא משקפות שינוי כלשהו בשלב הזה כדי לציין את השינויים שיושמו. הותקנו אמצעי הגנה מתאימים והסביבה שלכם מאובטחת מפני נקודת החולשה הזו.

מה לעשות?

מומלץ לשדרג לגרסה 4.9.2 של VMware HCX.

• VMSA-2024-0021
• CVE-2024-38814

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2024-0019 שמשפיעות על רכיבי vCenter שנפרסו בסביבות של לקוחות.

ההשפעה על VMware Engine

• ‫Google כבר השביתה כל ניסיון פוטנציאלי לנצל את נקודת החולשה הזו. לדוגמה, Google חסמה את היציאות שדרכן אפשר לנצל את נקודת החולשה הזו.
• בנוסף, Google מוודאת שכל הפריסות העתידיות של vCenter לא ייחשפו לנקודת החולשה הזו.

מה לעשות?

בשלב הזה לא נדרשת פעולה נוספת.

• CVE-2024-38812
• CVE-2024-38813

התגלתה נקודת חולשה CVE-2024-6387 בשרת OpenSSH‏ (sshd). אפשר לנצל את נקודת החולשה הזו מרחוק במערכות לינוקס שמבוססות על glibc: ביצוע קוד מרחוק ללא אימות כ-root, כי היא משפיעה על קוד עם הרשאות מיוחדות של sshd, שלא מוגן בארגז חול ופועל עם הרשאות מלאות.

בזמן הפרסום, ההערכה היא שקשה לנצל את הפגיעות הזו – נדרש ניצחון ב<b>מרוץ תהליכים</b>, שקשה לנצל בהצלחה ועשוי להימשך כמה שעות לכל מכונה שמוּתקפת. לא ידוע לנו על ניסיונות ניצול.

מה לעשות?

1. להחיל עדכונים מהפצות של Linux על עומסי העבודה כשהם זמינים. מומלץ לעיין בהנחיות של הפצות Linux.
2. אם אי אפשר לעדכן, כדאי להשבית את OpenSSH עד שיהיה אפשר לתקן אותו.
3. אם צריך להשאיר את OpenSSH פעיל, אפשר גם להריץ עדכון הגדרות שמבטל את התנאי של מצב המירוץ לניצול. זהו פתרון לזמן ריצה. כדי להחיל את השינויים בהגדרות של sshd, הסקריפט הזה יפעיל מחדש את שירות sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. לבסוף, חשוב לעקוב אחרי פעילות חריגה ברשת שקשורה לשרתי SSH.

• CVE-2024-6387
• Broadcom VMware Cloud Foundation Response

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2024-0012 שמשפיעות על רכיבי vCenter שנפרסו בסביבות של לקוחות.

ההשפעה על VMware Engine

• אפשר לנצל את נקודת החולשה הזו על ידי גישה ליציאות ספציפיות ב-vCenter Server. ‫Google כבר חסמה את היציאות הפגיעות בשרת vCenter, מה שמונע ניצול פוטנציאלי של נקודת החולשה הזו.
• בנוסף, Google מוודאת שכל הפריסות העתידיות של vCenter לא ייחשפו לנקודת החולשה הזו.

מה לעשות?

בשלב הזה לא נדרשת פעולה נוספת.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2024-0006 שמשפיעות על רכיבי ESXi שנפרסו בסביבות של לקוחות.

ההשפעה על VMware Engine

העננים הפרטיים שלכם עודכנו כדי לטפל בפגיעות האבטחה.

מה לעשות?

לא נדרשת פעולה כלשהי מצדך.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

‫VMware חשפה מספר נקודות חולשה ב-VMSA-2023-0023 שמשפיעות על רכיבי vCenter שנפרסו בסביבות של לקוחות.

ההשפעה על VMware Engine

• אפשר לנצל את נקודת החולשה הזו על ידי גישה ליציאות ספציפיות ב-vCenter Server. היציאות האלה לא חשופות לאינטרנט הציבורי.
• אם מערכות לא מהימנות לא יכולות לגשת ליציאות 2012/tcp,‏ 2014/tcp ו-2020/tcp של vCenter, אז אתם לא חשופים לפגיעות הזו.
• ‫Google כבר חסמה את היציאות הפגיעות בשרת vCenter, כדי למנוע ניצול פוטנציאלי של נקודת החולשה הזו.
• בנוסף, Google תדאג שכל הפריסות העתידיות של שרת vCenter לא ייחשפו לנקודת החולשה הזו.
• בזמן פרסום העלון, VMware לא הייתה מודעת לניצול כלשהו של הפגיעות 'בשטח'. פרטים נוספים מופיעים במאמרי העזרה של VMware.

מה לעשות?

בשלב הזה לא נדרשת פעולה נוספת.

• ‫CVE-2023-34048, CVE-2023-34056

עדכונים ל-VMware vCenter Server מטפלים במספר נקודות חולשה של השחתת זיכרון (CVE-2023-20892, ‏ CVE-2023-20893, ‏ CVE-2023-20894, ‏ CVE-2023-20895, ‏ CVE-2023-20896)

ההשפעה על VMware Engine

‫VMware vCenter Server‏ (vCenter Server) ו-VMware Cloud Foundation‏ (Cloud Foundation).

מה לעשות?

הלקוחות לא יושפעו ולא צריך לבצע פעולה כלשהי.

• CVE-2023-20893

חברת Intel הכריזה לאחרונה על הודעת אבטחה של Intel‏ INTEL-SA-00828 שמשפיעה על חלק מסדרות המעבדים שלה. מומלץ להעריך את הסיכונים שלכם בהתאם לאזהרה.

ההשפעה על VMware Engine

ה-Fleet שלנו משתמש במשפחות של המעבד שמושפעות מהבעיה. בפריסה שלנו, כל השרת מוקדש ללקוח אחד. לכן, מודל הפריסה שלנו לא מוסיף סיכון נוסף להערכה של הפגיעות הזו.

אנחנו עובדים עם השותפים שלנו כדי לקבל את התיקונים הדרושים, ובמהלך השבועות הקרובים נפרוס את התיקונים האלה לפי עדיפות לכל ה-Fleet באמצעות תהליך השדרוג הרגיל.

פעולות מומלצות

לא נדרשת שום פעולה מצידך. אנחנו פועלים לשדרוג כל המערכות המושפעות.

• CVE-2022-40982

לפי הייעוץ בנושא אבטחה VMSA-2021-0020 של VMware, התקבלו ב-VMware דיווחים על מספר נקודות חולשה ב-vCenter. VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

כבר יישמנו ב-Google Cloud VMware Engine את התיקונים שסופקו על ידי VMware למחסנית vSphere, בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-22005,‏ CVE-2021-22006,‏ CVE-2021-22007,‏ CVE-2021-22008 ו-CVE-2021-22010. בעיות אבטחה אחרות שהן לא קריטיות יטופלו בשדרוג הקרוב של סטאק VMware (בהתאם להודעה מראש שנשלחה בחודש יולי). בקרוב יפורסמו פרטים נוספים לגבי לוחות הזמנים הספציפיים של השדרוג.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

מה לעשות?

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

לפי הייעוץ בנושא אבטחה VMSA-2021-0010 של VMware, ‏ נקודות החולשה של ביצוע קוד מרחוק ועקיפת האימות ב-vSphere Client‏ (HTML5) דווחו באופן פרטי ל-VMware. ‫VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

יישמנו את התיקונים שסופקו על ידי VMware לסטאק vSphere,‏ בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-21985 ו-CVE-2021-21986. גרסאות התמונה שפועלות בענן הפרטי של VMware Engine לא משקפות שינוי כלשהו בשלב הזה כדי לציין את התיקונים שיושמו. אין לכם מה לדאוג, כי התיקונים המתאימים הותקנו והסביבה שלכם מאובטחת מפני נקודות החולשה האלה.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

פעולות מומלצות

מאחר שהאשכולות של VMware Engine לא מושפעים מנקודת החולשה הזו, אין צורך לבצע פעולות נוספות.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

לפי הייעוץ בנושא אבטחה VMSA-2021-0002 של VMware, ‏ התקבלו ב-VMware דיווחים על מספר נקודות חולשה ב-VMware ESXi וב-vSphere Client‏ (HTML5). ‫VMware פרסמה עדכונים כדי לתקן את נקודות החולשה האלה במוצרי VMware שמושפעים מהן.

יישמנו את הפתרונות הזמניים הרשמיים שפורסמו למחסנית vSphere, בהתאם לייעוץ בנושא אבטחה של VMware. עדכון זה מתייחס לנקודות החולשה באבטחה שמפורטות ב-CVE-2021-21972,‏ CVE-2021-21973 ו-CVE-2021-21974.

ההשפעה על VMware Engine

לפי הבדיקות שלנו, לא היתה השפעה על אף לקוח.

מה לעשות?

מומלץ לשדרג לגרסה העדכנית ביותר של HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974