Bug crítico do VMware permite injeção de comando
Em um comunicado separado da VMware, a empresa não indicou se a vulnerabilidade estava sob ataque ativo. Rastreado como CVE-2020-4006, o bug tem uma classificação de severidade CVSS de 9,1 de 10. A empresa disse que os patches estão “disponíveis” e que soluções alternativas “para uma solução temporária para evitar a exploração de CVE-2020-4006” já funcionam.
“Um agente malicioso com acesso à rede para o configurador administrativo na porta 8443 e uma senha válida para a conta de administrador do configurador pode executar comandos com privilégios irrestritos no sistema operacional subjacente”, escreveu a VMware.
Os produtos afetados pela vulnerabilidade são:
- VMware Workspace One Access (acesso)
- VMware Workspace One Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- Conector VMware Identity Manager (Conector vIDM)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
Um total de 12 versões do produto são afetadas.
As soluções alternativas da VMware são “destinadas a ser apenas uma solução temporária, e os clientes são aconselhados a seguir a VMSA-2020-0027 para serem alertados quando os patches estiverem disponíveis”, escreveu a empresa.
As versões afetadas incluem:
- VMware Workspace One Access 20.10 (Linux)
- VMware Workspace One Access 20.01 (Linux)
- VMware Identity Manager 3.3.3 (Linux)
- VMware Identity Manager 3.3.2 (Linux)
- VMware Identity Manager 3.3.1 (Linux)
- Conector VMware Identity Manager 3.3.2, 3.3.1 (Linux)
- Conector VMware Identity Manager 3.3.3, 3.3.2, 3.3.1 (Windows)
No entanto, há um porém nessa solução alternativa. Assim, após a implementação, em cada um dos serviços VMware, fica impossível fazer quaisquer alterações de configuração gerenciadas pelo configurador.
“Se forem necessárias alterações, reverta a solução alternativa seguindo as instruções … faça as alterações necessárias e desative novamente até que os patches estejam disponíveis. Além disso, a maior parte do painel de diagnóstico do sistema não será exibida”, explicou a VMware.