VMware: une faille zero-day permet l’injection de commandes

0

La Cybersecurity and Infrastructure Security Agency des États-Unis met en garde contre une faille zero-day affectant six produits VMware, dont Workspace One, Identity Manager et vRealize Suite Lifecycle Manager.

La faille de sécurité critique non corrigée est une vulnérabilité d’injection de commande.

Dans un avis VMware distinct, la société n’a pas indiqué si la vulnérabilité faisait l’objet d’une attaque active. Identifiée comme CVE-2020-4006, la faille a un score de gravité CVSS de 9,1 sur 10. La société a déclaré que les correctifs sont «à venir» et que des solutions de contournement «pour une solution temporaire pour empêcher l’exploitation de CVE-2020-4006» sont disponibles.

«Un individu malveillant disposant d’un accès réseau au configurateur administratif sur le port 8443 et d’un mot de passe valide pour le compte administrateur du configurateur peut exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent», a écrit VMware.

vmware

Les produits affectés par cette vulnérabilité sont:

  • VMware Workspace One Access (Access)
  • VMware Workspace One Access Connector (Access Connector)
  • VMware Identity Manager (vIDM)
  • VMware Identity Manager Connector (vIDM Connector)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Au total, 12 versions de produits sont concernées.

vmware cloud director

Les solutions de contournement décrites par VMware sont «destinées à être une solution temporaire uniquement, et les clients sont invités à suivre VMSA-2020-0027 pour être alerté lorsque des correctifs sont disponibles», a écrit la société.

Les versions impactées sont:

  • VMware Workspace One Access    20.10 (Linux)
  • VMware Workspace One Access    20.01 (Linux)
  • VMware Identity Manager    3.3.3 (Linux)
  • VMware Identity Manager    3.3.2 (Linux)
  • VMware Identity Manager    3.3.1 (Linux)
  • VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
  • VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)

Le compromis, une fois mis en œuvre, est que dans chacun des services VMware, les modifications des paramètres gérés par le configurateur ne seront pas possibles tant que la solution de contournement est en place.

«Si des modifications sont nécessaires, veuillez annuler la solution de contournement en suivant les instructions… effectuez les modifications requises et désactivez à nouveau jusqu’à ce que les correctifs soient disponibles. De plus, la plupart des tableaux de bord des diagnostics du système ne seront pas affichés », a expliqué VMware.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire