Bug crítico do VMware permite injeção de comando

Bug crítico do VMware permite injeção de comando
A VMware explicou que não tem patch para um bug crítico de escalonamento de privilégios que afeta os sistemas operacionais Windows e Linux e seu Workspace One. O bug Zero-Day crítico do VMware permite injeção de comando. A US Cybersecurity and Infrastructure Security Agency alerta sobre um bug de dia zero que afeta seis produtos VMware, incluindo o Workspace One, o Identity Manager e o vRealize Suite Lifecycle Manager.

Bug crítico do VMware permite injeção de comando

Bug crítico do VMware permite injeção de comando
Em um comunicado separado da VMware, a empresa não indicou se a vulnerabilidade estava sob ataque ativo. Rastreado como CVE-2020-4006, o bug tem uma classificação de severidade CVSS de 9,1 de 10. A empresa disse que os patches estão “disponíveis” e que soluções alternativas “para uma solução temporária para evitar a exploração de CVE-2020-4006” já funcionam.
“Um agente malicioso com acesso à rede para o configurador administrativo na porta 8443 e uma senha válida para a conta de administrador do configurador pode executar comandos com privilégios irrestritos no sistema operacional subjacente”, escreveu a VMware.

Os produtos afetados pela vulnerabilidade são:

VMware Workspace One Access (acesso)
VMware Workspace One Access Connector (Access Connector)
VMware Identity Manager (vIDM)
Conector VMware Identity Manager (Conector vIDM)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager

Um total de 12 versões do produto são afetadas.
As soluções alternativas da VMware são “destinadas a ser apenas uma solução temporária, e os clientes são aconselhados a seguir a VMSA-2020-0027 para serem alertados quando os patches estiverem disponíveis”, escreveu a empresa.

As versões afetadas incluem:

VMware Workspace One Access 20.10 (Linux)
VMware Workspace One Access 20.01 (Linux)
VMware Identity Manager 3.3.3 (Linux)
VMware Identity Manager 3.3.2 (Linux)
VMware Identity Manager 3.3.1 (Linux)
Conector VMware Identity Manager 3.3.2, 3.3.1 (Linux)
Conector VMware Identity Manager 3.3.3, 3.3.2, 3.3.1 (Windows)

No entanto, há um porém nessa solução alternativa. Assim, após a implementação, em cada um dos serviços VMware, fica impossível fazer quaisquer alterações de configuração gerenciadas pelo configurador.
“Se forem necessárias alterações, reverta a solução alternativa seguindo as instruções … faça as alterações necessárias e desative novamente até que os patches estejam disponíveis. Além disso, a maior parte do painel de diagnóstico do sistema não será exibida”, explicou a VMware.
Threat Post

FONTE: Blog SempreUpdate
Para mais detalhes, acesse o website da publicação original.