Em uma atualizações de segurança recente, a VMware corrigiu uma vulnerabilidade zero-day relatada pela NSA. Conheça essa ameaça e atualize.
VMware, Inc. é uma empresa de tecnologia que produz software e serviços para computação em nuvem e virtualização, o que permite que seu clientes criem máquinas virtuais.
Agora, a VMware lançou atualizações de segurança para abordar uma vulnerabilidade de dia zero no VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector.
VMware corrigiu uma vulnerabilidade zero-day relatada pela NSA
A vulnerabilidade é um bug de injeção de comando rastreado como CVE-2020-4006 e divulgado publicamente há duas semanas.
Embora não tenha emitido nenhuma atualização de segurança no momento em que divulgou o dia zero, a VMware forneceu uma solução alternativa para ajudar os administradores a mitigar o bug nos dispositivos afetados.
Se explorada com sucesso, a vulnerabilidade permite que os invasores escalem privilégios e executem comandos nos sistemas operacionais host Linux e Windows.
A lista completa de versões de produtos VMware afetadas pelo dia zero inclui:
- VMware Workspace One Access 20.01, 20.10 (Linux)
- VMware Identity Manager (vIDM) 3.3.1 até 3.3.3 (Linux)
- Conector VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2 (Linux)
- Conector VMware Identity Manager (conector vIDM) 3.3.1, 3.3.2, 3.3.3/19.03.0.0, 19.03.0.1 (Windows)
Embora inicialmente a empresa não tenha divulgado a identidade da organização ou do pesquisador que relatou a vulnerabilidade, a VMware reconheceu a contribuição da agência de inteligência do Departamento de Defesa dos Estados Unidos em uma atualização do comunicado de segurança feito na quinta-feira.
A VMware também reduziu a pontuação básica CVSSv3 do bug para 7,2/10 e a classificação de gravidade máxima de ‘Crítico’ para ‘Importante’.
CVE-2020-4006 existe no configurador administrativo de algumas versões do VMware Workspace ONE Access, Access Connector, Identity Manager e Identity Manager Connector.
“Um agente malicioso com acesso à rede para o configurador administrativo na porta 8443 e uma senha válida para a conta do administrador do configurador pode executar comandos com privilégios irrestritos no sistema operacional subjacente”, explica o comunicado.
“Esta conta é interna aos produtos afetados e uma senha é definida no momento da implantação. Um agente malicioso deve possuir essa senha para tentar explorar o CVE-2020-4006.”
Os atores da ameaça podem obter a senha necessária para explorar a vulnerabilidade usando técnicas documentadas no banco de dados MITER ATT & CK.
Atualizações de segurança disponíveis
A VMware lançou atualizações de segurança que atenuam totalmente a vulnerabilidade em dispositivos que executam um dos produtos afetados.
Informações sobre as etapas de implantação do patch, alterações esperadas e como confirmar se o patch foi aplicado estão disponíveis nos arquivos de patch.
Links para baixar atualizações de segurança para CVE-2020-4006 estão disponíveis na tabela incorporada abaixo.
| Produtos Afetados | Patch |
| VMware Workspace ONE Access | 20.10 |
| VMware Workspace ONE Access | 20.01 |
| VMware Identity Manager | 19.03 |
| VMware Identity Manager | 19.03.0.1 |
| VMware Identity Manager | 3.3.3 |
| VMware Identity Manager | 3.3.2 |
| VMware Identity Manager | 3.3.1 |
O DHS-CISA incentivou os administradores e usuários na quinta-feira a aplicar o patch lançado pela VMware para impedir as tentativas dos invasores de assumir o controle de sistemas vulneráveis.
Os administradores que não podem baixar e implantar o patch imediatamente podem usar a solução temporária que remove totalmente o vetor de ataque nos sistemas afetados e evita a exploração do CVE-2020-4006.
Detalhes sobre como implementar e reverter a solução alternativa em dispositivos baseados em Linux e servidores baseados em Windows estão disponíveis AQUI.
No entanto, depois que a solução alternativa for aplicada, “as alterações de configuração gerenciadas pelo configurador não serão possíveis”, como explica o VMware.