Error crítico de día cero de VMware permite la inyección de comandos; Parche pendiente

VMware explicó que no tiene un parche para un error crítico de escalada de privilegios que afecta a los sistemas operativos Windows y Linux y su Workspace One. El error crítico sin parche es una vulnerabilidad de inyección de comandos. En otro aviso de VMware, la empresa no indicó si la vulnerabilidad estaba bajo ataque activo. Rastreado […]

VMware explicó que no tiene un parche para un error crítico de escalada de privilegios que afecta a los sistemas operativos Windows y Linux y su Workspace One.

El error crítico sin parche es una vulnerabilidad de inyección de comandos.

En otro aviso de VMware, la empresa no indicó si la vulnerabilidad estaba bajo ataque activo. Rastreado como CVE-2020-4006, el error tiene una calificación de gravedad CVSS de 9.1 sobre 10. La compañía dijo que los parches están “próximos” y que existen soluciones “para una solución temporal para evitar la explotación de CVE-2020-4006”.

“Un actor malintencionado con acceso de red al configurador administrativo en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente”, escribió VMware.

Los productos afectados por la vulnerabilidad son:

• VMware Workspace One Access (acceso)
• Conector de acceso de VMware Workspace One (conector de acceso)
• Administrador de identidades de VMware (vIDM)
• Conector de VMware Identity Manager (conector vIDM)
• Fundación VMware Cloud
• Administrador del ciclo de vida de vRealize Suite

Un total de 12 versiones de productos se ven afectadas.

Las soluciones provisionales descritas por VMware están “destinadas a ser solo una solución temporal, y se recomienda a los clientes que sigan VMSA-2020-0027 para recibir alertas cuando haya parches disponibles”, escribió la empresa.

Las versiones afectadas incluyen:

• VMware Workspace One Access 20.10 (Linux)
• VMware Workspace One Access 20.01 (Linux)
• VMware Identity Manager 3.3.3 (Linux)
• VMware Identity Manager 3.3.2 (Linux)
• VMware Identity Manager 3.3.1 (Linux)
• Conector de VMware Identity Manager 3.3.2, 3.3.1 (Linux)
• Conector de VMware Identity Manager 3.3.3, 3.3.2, 3.3.1 (Windows)

La solución alternativa, una vez implementada, es que en cada uno de los servicios de VMware, los cambios de configuración administrados por el configurador no serán posibles mientras se aplique la solución.

“Si se requieren cambios, revierta la solución alternativa siguiendo las instrucciones … realice los cambios necesarios y desactívelos nuevamente hasta que los parches estén disponibles. Además, la mayoría del panel de diagnóstico del sistema no se mostrará ”, explicó VMware.