Vulnerabilità zero-day critica per sei prodotti VMware: mancano ancora le patch

VMware ha reso noto che è presente una vulnerabilità zero day critica in sei dei suoi prodotti. La vulnerabilità, nota come CVE-2020-4006, ha ricevuto una valutazione di gravità di 9,1 (su 10) poiché permette di prendere il controllo dei sistemi affetti. Al momento non è noto un rimedio definitivo per tutti i prodotti e non è disponibile una patch.

VMware annuncia vulnerabilità zero-day su sei prodotti: non ci sono ancora le patch

VMware ha annunciato di aver scoperto una vulnerabilità critica presente su diversi prodotti: tale vulnerabilità permette di prendere il controllo dell'intero sistema ad attaccanti che abbiano accesso alla rete della vittima e possano collegarsi al configuratore sulla porta 8443 usando una password valida per l'account di amministrazione dei prodotti VMware.

Non si tratta, dunque, di una vulnerabilità sfruttabile senza prima aver eseguito ulteriori operazioni dato che richiede la conoscenza della password di amministrazione e la possibilità di collegarsi al sistema. Tuttavia, la capacità di prendere il controllo completo del sistema operativo sottostante la rende comunque particolarmente insidiosa.

I prodotti coinvolti sono VMware Workspace One Access, Workspace One Access Connector, Identity Manager, Identity Manager Connector, Cloud Foundation e vRealize Suite Lifecycle Manager. In alcuni casi la vulnerabilità è sfruttabile quando il software è installato su un sistema Linux e non lo è se il sistema usa Windows, ma in altri sono coinvolti entrambi i sistemi.

Non sono attualmente disponibili patch per risolvere il problema. VMware ha rilasciato indicazioni per mitigare la situazione per Workspace One Access, VMware Identity Manager e VMware Identity Manager Connector. L'azienda non ha comunicato nell'avviso di sicurezza se ci siano informazioni sullo sfruttamento nel "mondo reale" di queste vulnerabilità.