El 7 de diciembre de 2020, la Agencia de Seguridad Nacional (NSA) publicó un aviso de ciberseguridad que indica que observaron a actores patrocinados por el estado ruso explotando una vulnerabilidad de inyección de comandos de VMware (CVE-2020-4006). VMware emitió un parche para la vulnerabilidad el 3 de diciembre de 2020. La vulnerabilidad afecta a los siguientes productos de VMware:
- VMware Access®3 20.01 y 20.10 en Linux®4
- VMware vIDM®5 3.3.1, 3.3.2 y 3.3.3 en Linux
- Conector VMware vIDM 3.3.1, 3.3.2, 3.3.3, 19.03
- VMware Cloud Foundation®6 4.x
- VMware vRealize Suite Lifecycle Manager®7 8.x
La vulnerabilidad requiere acceso de red al configurador administrativo en el puerto 8443 (aunque se puede configurar para que sea cualquier puerto) y una contraseña válida para la cuenta de administrador del configurador. Si existen estas condiciones, un actor malintencionado podría ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente.
Acciones de mitigacion
En primer lugar, parche el software vulnerable si es posible. Si, por alguna razón, el software vulnerable no se puede parchear, consulte las siguientes soluciones:
Advertencia:
Esta solución alternativa es aplicable ÚNICAMENTE a VMware Workspace ONE Access, VMware Identity Manager y VMware Identity Manager Connector. No aplique esta solución alternativa a otros productos de VMware.
Para implementar la solución alternativa para CVE-2020-4006, realice los siguientes pasos a continuación. Tenga en cuenta el sistema operativo.
1. Implemente una solución alternativa para los dispositivos basados en Linux:
-
-
- Utilice SSH para conectarse al dispositivo utilizando las credenciales “sshuser” configuradas durante la instalación o actualizadas más tarde.
- Cambie a root escribiendo su y proporcione las credenciales de “root” configuradas durante la instalación o actualizadas más tarde.
- Ejecute los siguientes comandos:
-
cd / opt / vmware / horizon // espacio de trabajo
mkdir webapps.tmp
mv webapps / cfg webapps.tmp
mv conf / Catalina / localhost / cfg.xml webapps.tmp
servicio horizonte-espacio de trabajo reiniciar
Repita los pasos para todos los dispositivos basados en Linux afectados por CVE-2020-4006.
2. Implemente una solución alternativa para los servidores basados en Windows:
-
-
- Inicie sesión como administrador.
- Abra una ventana del símbolo del sistema y ejecute los siguientes comandos:
-
Net stop “VMwareIDMConnector”
cd \ VMware \ VMwareIdentityManager \ Connector \ opt \ vmware \ horizon \ workspace
mkdir webappstmp
move webapps \ cfg webappstmp
move conf \ Catalina \ localhost \ cfg.xml webappstmp
net start “VMwareIDMConnector”
Repita los pasos para todos los servidores basados en Windows afectados por CVE-2020-4006.
Para eliminar la solución alternativa para CVE-2020-4006, realice los siguientes pasos:
1. Revertir la solución alternativa para dispositivos basados en Linux.
-
-
- Utilice SSH para conectarse al dispositivo utilizando las credenciales “sshuser” configuradas durante la instalación o actualizadas más tarde.
- Cambie a root escribiendo su y proporcione las credenciales de “root” configuradas durante la instalación o actualizadas más tarde.
- Ejecute los siguientes comandos:
-
cd / opt / vmware / horizon / workspace
mv webapps.tmp / cfg webapps
mv webapps.tmp / cfg.xml conf / Catalina / localhost
rmdir webapps.tmp
servicio horizonte-espacio de trabajo reiniciar
Repita los pasos para todos los dispositivos basados en Linux afectados por CVE-2020-4006.
2. Revertir la solución alternativa para servidores basados en Windows
-
-
- Inicie sesión como administrador.
- Abra una ventana del símbolo del sistema y ejecute los siguientes comandos:
-
net stop “VMwareIDMConnector”
cd \ VMware \ VMwareIdentityManager \ Connector \ opt \ vmware \ horizon \ workspace
move webappstmp \ cfg webapps
move webappstmp \ cfg.xml conf \ Catalina \ localhost
rmdir webappstmp
net start “VMwareIDMConnector”
Repita los pasos para todos los servidores basados en Windows afectados por CVE-2020-4006.
Conclusión
Palo Alto Networks continúa sus esfuerzos para identificar una prueba de concepto (PoC) u otra información relevante que permitiría una cobertura específica para la explotación de esta vulnerabilidad. Debido a la falta de detalles de ataques específicos relacionados con la explotación, Palo Alto Networks recomienda encarecidamente parchear su software vulnerable cuando sea posible y / o implementar la solución alternativa proporcionada por VMWare. Este blog se actualizará cuando haya más información disponible.