O serii wpadek przechodzących w prawidłowość.
W poniedziałek VMware poinformował użytkowników, że pracuje nad poprawką krytycznej luki w zabezpieczeniach umożliwiającej wstrzykiwanie poleceń. Problem dotyczy Workspace ONE Access i niektórych powiązanych komponentów. Pisze na swoim portalu Securityweek.
Luka została zakwalifikowana jako CVE-2020-4006 i posiadająca wynik CVSS 9.1, została zgłoszona prywatnie do VMware, ale potentat wirtualizacji nie wymienia żadnego badacza w swoich informacjach. Firma twierdzi, że pracuje nad poprawkami, a w międzyczasie udostępniła obejścia, oczywiście ma to zmniejszyć ryzyko wykorzystania podatności w atakach. Z resztą Vmware nie podało informacji czy luka została użyta w którymś z ataków ani nie podano do wiadomości szczegółów technicznych.
Workspace ONE Access (wcześniej znany jako VMware Identity Manager) zapewnia „wieloskładnikowe uwierzytelnianie, dostęp warunkowy i pojedyncze logowanie do SaaS, aplikacji internetowych i natywnych aplikacji mobilnych”. Stwierdzono, że luka ma wpływ na Workspace ONE Access w systemie Linux, Identity Manager (vIDM) w systemie Linux, vIDM Connector w systemie Windows i Linux, VMware Cloud Foundation i vRealize Suite Lifecycle Manager.
CVE-2020-4006 to problem z wstrzykiwaniem poleceń, który umożliwia atakującemu, który ma dostęp sieciowy do konfiguratora administratora na porcie 8443 i prawidłowe hasło do konta administratora konfiguratora, na wykonywanie poleceń z podwyższonymi uprawnieniami w bazowym systemie operacyjnym.
VMware poinformował również niedawno klientów, że na niektóre z jej produktów Tanzu wpływa CVE-2020-15999, luka w zabezpieczeniach FreeType, popularnej biblioteki oprogramowania do renderowania czcionek. Google zgłosił w zeszłym miesiącu, że luka, którą załatał w Chrome aktualizacją do wersji 86, została wykorzystana w atakach.
No cóż musimy trzymać kciuki, że tym razem wydania poprawek będą działać. Nie tak jak podczas zdarzeń, które miały miejsce na początku listopada. Wtedy to Vmware poinformował klientów, że wydało nowe łatki dla ESXi po tym, jak stwierdzono, że udostępniona w pażdzierniku poprawka dotycząca krytycznej luki była niekompletna.
Luka o której mowa w akapicie powyżej jest śledzona jako CVE-2020-3992 i została opisana jako błąd po okresie użytkowania, który wpływa na usługę OpenSLP w ESXi. Zdalny, nieuwierzytelniony atakujący może wykorzystać lukę w celu wykonania dowolnego kodu. Ryzyko użycia jest mniejsze, ponieważ, jak twierdzi Vmware, osoba atakująca musi znajdować się w sieci zarządzania i mieć dostęp do portu 427 na maszynie ESXi, aby wykorzystać lukę.
VMware dowiedział się o luce w zabezpieczeniach w lipcu od Lucasa Leonga z firmy Trend Micro’s Zero Day Initiative (ZDI). W październiku ZDI opublikowało także poradnik.
„Specyficzny błąd istnieje w przetwarzaniu komunikatów SLP. Problem wynika z braku walidacji istnienia obiektu przed wykonaniem operacji na obiekcie. Osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście SLP” – powiedział ZDI.
W przypadku CVE-2020-3992 VMware zaktualizowało swoje wstępne zalecenia, aby poinformować klientów, że poprawki były niekompletne. Nowe poprawki zostały już wydane dla ESXi 6.5, 6.7 i 7.0, ale znacznie dłużej trwają wydania na poprawki dla VMware Cloud Foundation, hybrydowej platformy chmurowej do zarządzania maszynami wirtualnymi i orkiestracji kontenerów.
Warto może pokusić się o odrobinę złośliwy komentarz: nie jest niczym niezwykłym, że VMware nie załatało luki przy pierwszej próbie. Na początku 2020 roku firma podjęła kilka prób naprawy błędu eskalacji uprawnień, który miał wpływ na wersję Fusion dla systemu macOS. Mówiąc pół żartem pół serio może warto przestać premiować za poprawki do poprawek?