Una
vulnerabilità zero-day affligge sei prodotti VMware tra cui Workspace one, Identity Manager e vRealize Suite Lifecycle Manager. Identificato dalla sigla CVE-2020-4006, questo bug ha ottenuto un
punteggio CVSS di 9.1 su 10, quindi è di elevata gravità.
VMware ha comunicato che le
patch sono imminenti, ma non è stata comunicata pubblicamente una data di rilascio. Per ora ci si deve accontentare di quelle che sono state definite "soluzioni alternative" per mitigare temporaneamente il rischio e prevenire lo sfruttamento della falla di sicurezza.
Quello che rischiano le infrastrutture esposte è un'escalation dei privilegi sui sistemi operativi Windows e Linux e nel Workspace One da parte di attaccanti esterni. Sull'avviso ufficiale, VMware scrive che "un cyber criminale con accesso di rete al configuratore sulla porta 8443 e una password valida per l'account amministratore del configuratore può eseguire comandi con privilegi illimitati sul sistema operativo". Anche l'Agenzia statunitense per la sicurezza informatica è scesa in campo per allertare sui rischi
L'elenco completo dei prodotti interessati è il seguente:
- VMware Workspace One Access (versioni 20.01 e 20.10 per Linux e Windows)
- VMware Workspace One Access Connector (versioni 20.10, 20.01.0.0 e 20.01.0.1 per Windows)
- VMware Identity Manager (versioni 3.3.1, 3.3.2 e 3.3.3 per Linux e Windows)
- VMware Identity Manager Connector (versioni 3.3.1, 3.3.2 per Linux e 3.3.1, 3.3.2, 3.3.3 per Windows)
- VMware Cloud Foundation (versioni 4.x per Linux e Windows)
- vRealize Suite Lifecycle Manager (versioni 8.x per Linux e Windows)
VMware non ha indicato se la vulnerabilità sia o meno soggetta ad attacchi attivi; si è limitata a sottolineare che le soluzioni alternative sono "pensate solo per essere una soluzione temporanea. Si consiglia ai clienti di collegarsi spesso alla pagina
VMSA-2020-0027 per conoscere non appena saranno disponibili le patch".
La soluzione alternativa consiste nel fatto che, una volta predisposta, in ciascuno dei servizi VMware
non sarà più possibile apportare modifiche alle impostazioni gestite dal configuratore. In caso fosse necessario apportare modifiche, bisognerà disabilitare temporaneamente la correzione, apportare le modifiche e attivarla nuovamente. Inoltre, la maggior parte delle informazioni normalmente contenute nella dashboard di diagnostica del sistema non verranno visualizzate.