Una falla crítica de VMware sin parches afecta a múltiples productos corporativos

Defecto de VMware

VMware ha lanzado soluciones temporales para abordar una vulnerabilidad crítica en sus productos que podría ser aprovechada por un atacante para tomar el control de un sistema afectado.

«Un actor malicioso con acceso de red al configurador administrativo en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con privilegios sin restricciones en el sistema operativo subyacente», señaló la firma de software y servicios de virtualización en su aviso.

Registrada como CVE-2020-4006, la vulnerabilidad de inyección de comandos tiene una puntuación CVSS de 9,1 sobre 10 y afecta a VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector.

Si bien la compañía dijo que los parches para la falla están «próximos», no especificó una fecha exacta en la que se espera que se lance. No está claro si la vulnerabilidad está bajo ataque activo.

La lista completa de productos afectados es la siguiente:

  • VMware Workspace One Access (versiones 20.01 y 20.10 para Linux y Windows)
  • VMware Workspace One Access Connector (versiones 20.10, 20.01.0.0 y 20.01.0.1 para Windows)
  • VMware Identity Manager (versiones 3.3.1, 3.3.2 y 3.3.3 para Linux y Windows)
  • VMware Identity Manager Connector (versiones 3.3.1, 3.3.2 para Linux y 3.3.1, 3.3.2, 3.3.3 para Windows)
  • VMware Cloud Foundation (versiones 4.x para Linux y Windows)
  • vRealize Suite Lifecycle Manager (versiones 8.x para Linux y Windows)

VMware dijo que la solución se aplica solo al servicio de configuración administrativa alojado en el puerto 8443.

«Los cambios de configuración administrados por el configurador no serán posibles mientras la solución esté en su lugar», dijo la compañía. «Si se requieren cambios, revierta la solución alternativa siguiendo las instrucciones a continuación, realice los cambios necesarios y desactívelos nuevamente hasta que los parches estén disponibles».

El aviso llega días después de que VMware abordara una falla crítica en los hipervisores ESXi, Workstation y Fusion que podría ser aprovechada por un actor malicioso con privilegios administrativos locales en una máquina virtual para ejecutar código y escalar sus privilegios en el sistema afectado (CVE-2020- 4004 y CVE-2020-4005).

La vulnerabilidad fue descubierta por Qihoo 360 Vulcan Team en el Concurso Pwn de la Copa Tianfu 2020 celebrado a principios de este mes en China.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática