
Vulnerabilidade permite escalada de privilégios e ainda está sem patch: apenas paliativos foram disponibilizados.
A CISA (Cybersecurity and Infrastructure Security Agency – Agência Americana de Segurança Cibernética e de Sistemas) está alertando sobre uma vulnerabilidade que afeta seis produtos VMware, incluindo o Workspace One, Identity Manager e vRealize Suite Lifecycle Manager.
A vulnerabilidade ainda não foi corrigida e apenas paliativos foram disponibilizados pela VMware. A empresa não chegou a indicar se a vulnerabilidade chegou a ser efetivamente explorada em ataques. A vulnerabilidade foi registrada como CVE-2020-4006 e classificada em severidade CVSS de 9,1 (de um máximo de 10). Os produtos afetados pela vulnerabilidade são:
- VMware Workspace One Access (acesso)
- VMware Workspace One Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- Conector VMware Identity Manager (Conector vIDM)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
Um total de 12 versões do produto são afetadas.
As soluções alternativas descritas pela VMware são apenas solução temporária; os clientes são aconselhados a seguir a VMSA-2020-0027 para serem alertados quando os patches estiverem disponíveis.
As versões afetadas incluem:
- VMware Workspace One Access 20.10 (Linux)
- VMware Workspace One Access 20.01 (Linux)
- VMware Identity Manager 3.3.3 (Linux)
- VMware Identity Manager 3.3.2 (Linux)
- VMware Identity Manager 3.3.1 (Linux)
- Conector VMware Identity Manager 3.3.2, 3.3.1 (Linux)
- Conector VMware Identity Manager 3.3.3, 3.3.2, 3.3.1 (Windows)
Para saber mais:
- Divulgação pela CISA
- Advisory da VMWare
- CVE-2020-4006
- Artigo da VMWare sobre a vulnerabilidade
- Repercussão no TheHack
Informações obtidas e adaptadas de https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006, https://www.vmware.com/security/advisories/VMSA-2020-0027.html, https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4006, https://kb.vmware.com/s/article/81731 e https://threatpost.com/vmware-zero-day-patch-pending/161523/.