VMware tam bir yama yayınladı ve NSA tarafından bildirilen güvenlik açığının önem düzeyini “önemli” olarak revize etti.
VMware, Kasım ayının sonlarında açıklanan sıfırıncı gün hatasını düzeltti – hem Windows hem de Linux işletim sistemleri için Workspace One’ı ve diğer platformları etkileyen bir ayrıcalık artışı hatası. VMware ayrıca, hatanın CVSS önem derecesini kritikten aşağıya “önemli” olarak revize etti.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ilk olarak 23 Kasım’da Cloud Foundation, Identity Manager, vRealize Suite Lifecycle Manager ve Workspace One portföylerinde 12 VMware sürümünü etkileyen yamalanmamış güvenlik açığını işaretlemişti. Ulusal Güvenlik Ajansı (NSA) tarafından şirkete ihbar edildi.
CVE-2020-4006 olarak izlenen hata, şirketin tavsiyesine göre komut enjeksiyonuna izin veriyor.
VMware Perşembe günü güncellenmiş bir danışma belgesinde , “8443 numaralı bağlantı noktasındaki yönetici yapılandırıcıya ağ erişimi ve yapılandırıcı yönetici hesabı için geçerli bir şifreye sahip kötü niyetli bir aktör, temeldeki işletim sisteminde sınırsız ayrıcalıklara sahip komutları yürütebilir” dedi .
Başlangıçta CVSS önem ölçeğinde hataya 10 üzerinden 9,1 olarak verilmiş olsa da, daha fazla araştırma, herhangi bir saldırganın güncellemede belirtilen şifreye ihtiyaç duyacağını ve bu da etkin bir şekilde yararlanılmasını çok daha zor hale getirdiğini gösterdi. Puanı şu anda 7,2, bu da onu “kritik” değil “önemli” yapıyor.
Danışma belgesine göre “Bu hesap etkilenen ürünlerin dahilindedir ve dağıtım sırasında bir parola belirlenir”. “Kötü niyetli bir aktörün CVE-2020-4006’dan yararlanmaya çalışabilmesi için bu şifreye sahip olması gerekir.” Parolanın kimlik avı veya kaba zorlama / kimlik bilgilerini doldurma gibi taktiklerle elde edilmesi gerekiyordu.
Güvenlik açığı Kasım ayında ortaya çıktığında, şirket, “CVE-2020-4006 istismarını önlemek için geçici bir çözüm için” geçici çözümler yayınladı ve geçici çözüm yürürlükteyken yapılandırıcı tarafından yönetilen ayar değişikliklerinin mümkün olduğu konusunda bir ödün verdi. Ancak artık tam bir yama mevcuttur.
Güvenlik açığından etkilenen ürünler şunlardır:
- VMware Workspace One Access (Erişim)
- VMware Workspace One Erişim Bağlayıcısı (Erişim Bağlayıcısı)
- VMware Identity Manager (vIDM)
- VMware Identity Manager Bağlayıcısı (vIDM Bağlayıcısı)
- VMware Cloud Foundation
- vRealize Suite Yaşam Döngüsü Yöneticisi
Etkilenen sürümler:
- Workspace One Access 20.01, 20.10 (Linux)
- Identity Manager 3.3.3, 3.3.2, 3.3.1 (Linux)
- Identity Manager Bağlayıcısı 3.3.2, 3.3.1 (Linux)
- Identity Manager Bağlayıcısı 3.3.3, 3.3.2, 3.3.1 (Windows)
- Cloud Foundation 4.x (Linux ve Windows)
- vRealize Suite Lifecycle Manager 8.x (Linux ve Windows)
