Búsca en Seguridad y Firewall


Defecto crítico de VMware sin parches que afecta a múltiples productos corporativos

Diego Cortes Robles martes, noviembre 24, 2020Compartir:

VMware ha lanzado soluciones temporales para abordar una vulnerabilidad crítica en sus productos que un atacante podría aprovechar para tomar el control de un sistema afectado.

"Un actor malintencionado con acceso de red al configurador administrativo en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente", señaló la firma de servicios y software de virtualización en su aviso .

Rastreada como CVE-2020-4006, la vulnerabilidad de inyección de comando tiene una puntuación CVSS de 9.1 sobre 10 e afecta a VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector.

Si bien la compañía dijo que los parches para la falla están "próximos", no especificó una fecha exacta en la que se espera que se publique. No está claro si la vulnerabilidad está bajo ataque activo.

La lista completa de productos afectados es la siguiente:

  • VMware Workspace One Access (versiones 20.01 y 20.10 para Linux y Windows)
  • VMware Workspace One Access Connector (versiones 20.10, 20.01.0.0 y 20.01.0.1 para Windows)
  • VMware Identity Manager (versiones 3.3.1, 3.3.2 y 3.3.3 para Linux y Windows)
  • Conector de VMware Identity Manager (versiones 3.3.1, 3.3.2 para Linux y 3.3.1, 3.3.2, 3.3.3 para Windows)
  • VMware Cloud Foundation (versiones 4.x para Linux y Windows)
  • vRealize Suite Lifecycle Manager (versiones 8.x para Linux y Windows)
  • VMware dijo que la solución se aplica solo al servicio del configurador administrativo alojado en el puerto 8443.


El aviso llega días después de que VMware solucionara una falla crítica en los hipervisores ESXi, Workstation y Fusion que podrían ser explotados por un actor malintencionado con privilegios administrativos locales en una máquina virtual para ejecutar código y escalar sus privilegios en el sistema afectado (CVE-2020- 4004 y CVE-2020-4005).

La vulnerabilidad fue descubierta por Qihoo 360 Vulcan Team en el Concurso de Pwn de la Copa Tianfu 2020 celebrado a principios de este mes en China.


https://kb.vmware.com/s/article/81731

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!