VMware corrige vulnerabilidad de día cero reportada por la NSA

04 Diciembre 2020
Alto

VMware ha publicado actualizaciones de seguridad sobre una vulnerabilidad correspondiente a un día cero en VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector. La vulnerabilidad es un error de inyección de comando rastreado como CVE-2020-4006 que si llega a ser explotado con éxito, esta puede permitir a los atacantes aumentar privilegios y ejecutar comandos en los sistemas operativos host Linux y windows.

CVE-2020-4006 - Puntuación CVSSv3: 7.2

Un actor malintencionado con acceso de red al configurador administrativo en el puerto 8443 y una contraseña válida para la cuenta de administrador del configurador puede ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente. Esta cuenta es interna de los productos afectados y se establece una contraseña en el momento de la implementación. Un actor malintencionado debe poseer esta contraseña para intentar explotar CVE-2020-4006.

Los administradores que no pueden descargar e implementar inmediatamente el parche aún pueden usar la solución temporal que elimina por completo el vector de ataque en los sistemas afectados y evita la explotación de CVE-2020-4006.

Link de solución alternativa: https://kb.vmware.com/s/article/81731

VMware reconoció la contribución de la agencia de inteligencia del Departamento de Defensa de EE. UU. agradeciendo la información entregada sobre esta vulnerabilidad.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #VMware #Parche #Workspace #vIDM #CVE-2020-4006


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.