Une faille VMware critique non corrigée affecte plusieurs produits d’entreprise

VMware a publié des solutions de contournement temporaires pour remédier à une vulnérabilité critique dans ses produits qui pourrait être exploitée par un attaquant pour prendre le contrôle d’un système affecté.

“Un acteur malveillant disposant d’un accès réseau au configurateur administratif sur le port 8443 et d’un mot de passe valide pour le compte administrateur du configurateur peut exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent”, a indiqué la société de services et de logiciels de virtualisation dans son consultatif.

Alors que la société a déclaré que les correctifs pour la faille étaient «à venir», elle n’a pas précisé de date exacte à laquelle elle devrait être publiée. On ne sait pas si la vulnérabilité est attaquée activement.

La liste complète des produits concernés est la suivante:

  • VMware Workspace One Access (versions 20.01 et 20.10 pour Linux et Windows)
  • VMware Workspace One Access Connector (versions 20.10, 20.01.0.0 et 20.01.0.1 pour Windows)
  • VMware Identity Manager (versions 3.3.1, 3.3.2 et 3.3.3 pour Linux et Windows)
  • Connecteur VMware Identity Manager (versions 3.3.1, 3.3.2 pour Linux et 3.3.1, 3.3.2, 3.3.3 pour Windows)
  • VMware Cloud Foundation (versions 4.x pour Linux et Windows)
  • vRealize Suite Lifecycle Manager (versions 8.x pour Linux et Windows)

VMware a déclaré que la solution de contournement s’applique uniquement au service de configurateur administratif hébergé sur le port 8443.

“Les modifications des paramètres gérés par le configurateur ne seront pas possibles tant que la solution de contournement est en place”, a déclaré la société m’a dit. “Si des modifications sont nécessaires, veuillez annuler la solution de contournement en suivant les instructions ci-dessous, apporter les modifications requises et désactiver à nouveau jusqu’à ce que les correctifs soient disponibles.”

L’avis intervient quelques jours après que VMware a adressé une faille critique dans les hyperviseurs ESXi, Workstation et Fusion qui pourrait être exploitée par un acteur malveillant disposant de privilèges administratifs locaux sur une machine virtuelle pour exécuter du code et augmenter ses privilèges sur le système affecté (CVE-2020-4004 et CVE-2020-4005).

La vulnérabilité a été découverte par l’équipe Qihoo 360 Vulcan lors du concours de la Coupe Tianfu 2020 organisé plus tôt ce mois-ci en Chine.

Source : thehackernews