A VMware revelou pelo menos três falhas críticas no Workspace ONE Assist for Windows – um produto usado pela equipe de TI e de suporte técnico para assumir e gerenciar remotamente os dispositivos dos funcionários.
As falhas são todas classificadas com 9,8 de 10 na gravidade do CVSS. Um criminoso capaz de acessar uma implantação do Workspace ONE Assist, seja pela Internet ou pela rede, pode explorar qualquer um desses três bugs para obter acesso administrativo sem a necessidade de autenticação. Nesse ponto, o intruso ou insider desonesto pode entrar em contato com os usuários para oferecer-lhes assistência que não é nada útil, como tomar o controle de dispositivos.
Isso só é possível porque o código de autenticação do Workspace ONE Assist parece estar – não vamos adoçar isso – borked.
VMware revela três falhas críticas na ferramenta de controle remoto
Fazemos essa afirmação porque uma das falhas (CVE-2022-31685) permite que um invasor ignore a autenticação. O CVE-2022-31686 é descrito como um “método de autenticação quebrado” e um controle de acesso quebrado é o problema detalhado no CVE-2022-31687.
O Workspace ONE Assist também é afetado por uma vulnerabilidade de script entre sites de classificação 6.4 (CVE-2022-31688) que – graças à sanitização inadequada de entrada do usuário – pode ser explorada, com alguma interação do usuário, para injetar e executar código JavaScript malicioso no janela da vítima.
Há também o CVE-2022-31689 para se preocupar – uma vulnerabilidade de classificação 4.2 que permite que um agente mal-intencionado que obtenha um token de sessão válido se autentique no aplicativo usando esse token.
Essas falhas se aplicam às versões 21.xe 22.x do Workspace ONE Assist. A versão 21.x parece ter estreado no início de 2021, enquanto a série 22.x surgiu em março de 2022.
A versão 22.10 limpa todas as bagunças acima, adiciona alguns recursos e arruma alguns outros problemas. É seu para download aqui.
A VMware elogiou Jasper Westerman, Jan van der Put, Yanick de Pater e Harm Blankers da REQON IT-Security por descobrir e relatar as falhas de segurança.
Em uma notícia mais feliz para a Virtzilla, a empresa anunciou que seus produtos em nuvem estão agora disponíveis por meio da plataforma GreenLake ITaaS da HPE, além de – alerta de ironia – uma versão “mais segura” de sua suíte de trabalho híbrida Anywhere Workspace.