Bug crítico do VMware permite injeção de comando

A VMware explicou que não tem patch para um bug crítico de escalonamento de privilégios que afeta os sistemas operacionais Windows e Linux e seu Workspace One. O bug Zero-Day crítico do VMware permite injeção de comando. A US Cybersecurity and Infrastructure Security Agency alerta sobre um bug de dia zero que afeta seis produtos VMware, incluindo o Workspace One, o Identity Manager e o vRealize Suite Lifecycle Manager.

Bug crítico do VMware permite injeção de comando

Bug crítico do VMware permite injeção de comando

Em um comunicado separado da VMware, a empresa não indicou se a vulnerabilidade estava sob ataque ativo. Rastreado como CVE-2020-4006, o bug tem uma classificação de severidade CVSS de 9,1 de 10. A empresa disse que os patches estão “disponíveis” e que soluções alternativas “para uma solução temporária para evitar a exploração de CVE-2020-4006” já funcionam.

“Um agente malicioso com acesso à rede para o configurador administrativo na porta 8443 e uma senha válida para a conta de administrador do configurador pode executar comandos com privilégios irrestritos no sistema operacional subjacente”, escreveu a VMware.

Os produtos afetados pela vulnerabilidade são:

  • VMware Workspace One Access (acesso)
  • VMware Workspace One Access Connector (Access Connector)
  • VMware Identity Manager (vIDM)
  • Conector VMware Identity Manager (Conector vIDM)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Um total de 12 versões do produto são afetadas.

As soluções alternativas da VMware são “destinadas a ser apenas uma solução temporária, e os clientes são aconselhados a seguir a VMSA-2020-0027 para serem alertados quando os patches estiverem disponíveis”, escreveu a empresa.

As versões afetadas incluem:

  • VMware Workspace One Access 20.10 (Linux)
  • VMware Workspace One Access 20.01 (Linux)
  • VMware Identity Manager 3.3.3 (Linux)
  • VMware Identity Manager 3.3.2 (Linux)
  • VMware Identity Manager 3.3.1 (Linux)
  • Conector VMware Identity Manager 3.3.2, 3.3.1 (Linux)
  • Conector VMware Identity Manager 3.3.3, 3.3.2, 3.3.1 (Windows)

No entanto, há um porém nessa solução alternativa. Assim, após a implementação, em cada um dos serviços VMware, fica impossível fazer quaisquer alterações de configuração gerenciadas pelo configurador.

“Se forem necessárias alterações, reverta a solução alternativa seguindo as instruções … faça as alterações necessárias e desative novamente até que os patches estejam disponíveis. Além disso, a maior parte do painel de diagnóstico do sistema não será exibida”, explicou a VMware.

Threat Post

Artigos recentes

Artigos relacionados