Bug zero-day in sei prodotti VMware, ecco che cosa fare

In attesa della patch per una grave vulnerabilità zero-day in sei prodotti VMware, l'azienda ha pubblicato una correzione temporanea.

Autore: Redazione SecurityOpenLab

Una vulnerabilità zero-day affligge sei prodotti VMware tra cui Workspace one, Identity Manager e vRealize Suite Lifecycle Manager. Identificato dalla sigla CVE-2020-4006, questo bug ha ottenuto un punteggio CVSS di 9.1 su 10, quindi è di elevata gravità. 

VMware ha comunicato che le patch sono imminenti, ma non è stata comunicata pubblicamente una data di rilascio. Per ora ci si deve accontentare di quelle che sono state definite "soluzioni alternative" per mitigare temporaneamente il rischio e prevenire lo sfruttamento della falla di sicurezza.

Quello che rischiano le infrastrutture esposte è un'escalation dei privilegi sui sistemi operativi Windows e Linux e nel Workspace One da parte di attaccanti esterni. Sull'avviso ufficiale, VMware scrive che "un cyber criminale con accesso di rete al configuratore sulla porta 8443 e una password valida per l'account amministratore del configuratore può eseguire comandi con privilegi illimitati sul sistema operativo". Anche l'Agenzia statunitense per la sicurezza informatica è scesa in campo per allertare sui rischi 
L'elenco completo dei prodotti interessati è il seguente: 
VMware non ha indicato se la vulnerabilità sia o meno soggetta ad attacchi attivi; si è limitata a sottolineare che le soluzioni alternative sono "pensate solo per essere una soluzione temporanea. Si consiglia ai clienti di collegarsi spesso alla pagina VMSA-2020-0027 per conoscere non appena saranno disponibili le patch".

La soluzione alternativa consiste nel fatto che, una volta predisposta, in ciascuno dei servizi VMware non sarà più possibile apportare modifiche alle impostazioni gestite dal configuratore. In caso fosse necessario apportare modifiche, bisognerà disabilitare temporaneamente la correzione, apportare le modifiche e attivarla nuovamente. Inoltre, la maggior parte delle informazioni normalmente contenute nella dashboard di diagnostica del sistema non verranno visualizzate.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.