Vulnérabilité d’injection de commande affectant VMware

  • Post author:
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2020/ALERTE/017

Date de l’alerte:  08/12/2020

Aperçu de la menace

Libellée CVE-2020-4006, il s’agit d’une vulnérabilité d’injection de commande dans le configurateur d’administration de VMware Workspace One Access, Access Connector, Identity Manager et Identity Manager Connector.

Description

VMware Workspace ONE est une suite de produits qui inclut Workspace ONE UEM pour la gestion de la mobilité ainsi qu’un produit de gestion des identités appelé Workspace ONE Access.

La vulnérabilité décrite dans ce bulletin est une d’injection de commande qui permet à un acteur malveillant disposant d’un accès réseau au configurateur administratif sur le port 8443 et d’un mot de passe valide pour le compte administrateur du configurateur, d’exécuter des commandes avec des privilèges illimités sur le système d’exploitation sous-jacent. Ce compte est interne aux produits concernés et un mot de passe est défini au moment du déploiement. Toutefois il faudra noter qu’un acteur malveillant doit posséder ce mot de passe pour tenter cet exploit.

L’exploitation via l’injection de commandes pourrait conduire à l’installation d’un script malveillant et à une activité malveillante consécutive où des informations d’identification sous la forme d’assertion d’authentification SAML sont générées et envoyées aux services de fédération Microsoft Active Directory, qui à leur tour octroient aux acteurs l’accès aux données protégées.

Risques

  • Exécution des commandes avec des privilèges illimités sur le système d’exploitation ;

  • Vol de données protégées ;

  • Abus des systèmes d’authentification partagés.

Systèmes affectés:

  • VMware Workspace One Access v20.10 (Linux)

  • VMware Workspace One Access v20.01 (Linux)

  • VMware Identity Manager v3.3.3 (Linux)

  • VMware Identity Manager v3.3.2 (Linux)

  • VMware Identity Manager v3.3.1 (Linux)

  • Connecteur VMware Identity Manager v3.3.2 et 3.3.1 (Linux)

  • Connecteur VMware Identity Manager v3.3.3, 3.3.2 et 3.3.1 (Windows)

  • VMware Cloud Foundation (vIDM) v4.x (fonctionnant sur n’importe quelle plate-forme)

  • vRealize Suite Lifecycle Manager (vIDM) v8.x (s’exécutant sur n’importe quelle plate-forme)

Mesures à prendre

  • Solution de contournement pour les versions linux :

  1. Utiliser SSH pour se connecter à l’aide des informations d’identification « sshuser » configurées lors de l’installation ou mises à jour ultérieurement.

  2. Passer à la racine en tapant su et fournissez les informations d’identification « root » configurées lors de l’installation ou mises à jour ultérieurement.

  3. Exécuter les commandes suivantes :

  • cd /opt/vmware/horizon/workspace

  • mkdir webapps.tmp

  • mv webapps/cfg webapps.tmp

  • mv conf/Catalina/localhost/cfg.xml webapps.tmp

  • service horizon-workspace restart

  1. Répétez les étapes pour toutes les instances Linux affectées par CVE-2020-4006.

  • Solution de contournement pour les serveurs Windows :

  1. Connectez-vous en tant qu’administrateur.

  2. Ouvrez une fenêtre d’invite de commandes et exécutez les commandes suivantes :

  • net stop « VMwareIDMConnector »

  • cd \VMware\VMwareIdentityManager\Connector\opt\vmware\horizon\workspace

  • mkdir webappstmp

  • move webapps\cfg webappstmp

  • move conf\Catalina\localhost\cfg.xml webappstmp

  • net start « VMwareIDMConnector »

  • Surveiller régulièrement les journaux d’authentification pour les authentifications anormales ainsi qu’analyser les journaux de serveur pour la présence de « déclarations de sortie » qui peuvent suggérer une activité d’exploitation possible ;

  • Sécuriser l’interface de gestion avec un mot de passe fort et unique.

Liens utiles

  • https://kb.vmware.com/s/article/81731

  • https://www.vmware.com/security/advisories/VMSA-2020-0027.html

  • https://docs.vmware.com/fr/VMware-Workspace-ONE-UEM/index.html

Partagez sur vos réseaux.