VMware ha publicado actualizaciones de seguridad para abordar una vulnerabilidad de día cero en VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector.
La vulnerabilidad es un error de inyección de comando rastreado como CVE-2020-4006 y revelado públicamente hace dos semanas.
Si bien no emitió ninguna actualización de seguridad en el momento en que reveló el día cero, VMware proporcionó una solución para ayudar a los administradores a mitigar el error en los dispositivos afectados.
Si se explota con éxito, la vulnerabilidad permite a los atacantes aumentar los privilegios y ejecutar comandos en los sistemas operativos host Linux y Windows.
La lista completa de versiones de productos de VMware afectadas por el día cero incluye:
- VMware Workspace One Access 20.01, 20.10 (Linux)
- VMware Identity Manager (vIDM) 3.3.1 hasta 3.3.3 (Linux)
- Conector de VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2 (Linux)
- Conector de VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows)
Día cero informado por la NSA
Si bien inicialmente la compañía no reveló la identidad de la organización o el investigador que informó la vulnerabilidad, VMware reconoció la contribución de la agencia de inteligencia del Departamento de Defensa de EE. UU. En una actualización del aviso de seguridad realizado el jueves.
VMware también redujo la puntuación base CVSSv3 del error a 7,2 / 10 y la clasificación de gravedad máxima de “Crítico” a “Importante”.
CVE-2020-4006 existe en el configurador administrativo de algunas versiones de VMware Workspace ONE Access, Access Connector, Identity Manager e Identity Manager Connector.
“Un actor malintencionado con acceso de red al configurador administrativo en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente”, explica el aviso.
“Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación. Un actor malintencionado debe poseer esta contraseña para intentar explotar CVE-2020-4006”.
Los actores de amenazas pueden obtener la contraseña necesaria para explotar la vulnerabilidad utilizando técnicas documentadas en la base de datos MITRE ATT & CK.
Actualizaciones de seguridad disponibles
VMware lanzó actualizaciones de seguridad que mitigan por completo la vulnerabilidad en los dispositivos que ejecutan uno de los productos afectados.
La información sobre los pasos de implementación del parche, los cambios esperados y cómo confirmar que el parche se ha aplicado están disponibles en los archivos del parche.
Los enlaces para descargar actualizaciones de seguridad para CVE-2020-4006 están disponibles en la tabla incluida a continuación.
| Producto afectado | Parche |
| Acceso a VMware Workspace ONE | 20.10 |
| Acceso a VMware Workspace ONE | 20.01 |
| Administrador de identidades de VMware | 19.03 |
| Administrador de identidades de VMware | 19.03.0.1 |
| Administrador de identidades de VMware | 3.3.3 |
| Administrador de identidades de VMware | 3.3.2 |
| Administrador de identidades de VMware | 3.3.1 |
DHS-CISA alentó a los administradores y usuarios el jueves a aplicar el parche emitido por VMware para frustrar los intentos de los atacantes de apoderarse de los sistemas vulnerables.
Los administradores que no pueden descargar e implementar inmediatamente el parche aún pueden usar la solución temporal que elimina por completo el vector de ataque en los sistemas afectados y evita la explotación de CVE-2020-4006.
Los detalles sobre cómo implementar y revertir la solución alternativa en dispositivos basados en Linux y servidores basados en Windows están disponibles AQUÍ.
Sin embargo, una vez que se aplica la solución alternativa, “los cambios de configuración administrados por el configurador no serán posibles”, como explica VMware.
