Unter bestimmten Voraussetzungen könnten Angreifer Linux- und Windows-Systeme mit VMware Cloud Foundation, IdentityManager, Identity Manager Connector, vRealize Suite Lifecycle Manager, Workspace One Access und Workspace One Access Connector attackieren und Schadcode ausführen. Sicherheitsupdates sind noch nicht verfügbar. Admins müssen ihre Systeme mit Workarounds absichern.
Um die als “kritisch” eingestufte Lücke (CVE-2020-4006) erfolgreich ausnutzen zu können, benötigen Angreifer Netzwerkzugriff auf das Admin-Konfigurationspanel (Port 8443). Dafür ist ein gültiges Passwort nötig. Ist der Zugriff gegeben, könnten sie eigene Befehle mit uneingeschränkten Rechten ausführen.
Die Workarounds funktionieren ausschließlich mit Identity Manager, Identity Manger Connector und Workspace One Access.
Ist der Workaround aktiv, ist es Admins nicht möglich das Konfigurationspanel zu benutzen. Ist das unbedingt notwendig, kann man den Workaround vorübergehend deaktivieren und nachdem die Einstellungen vorgenommen wurden wieder aktivieren.
Das Erscheinungsdatum der Sicherheitsupdates ist noch nicht bekannt.
Diese Versionen sind von der Lücke betroffen:
- VMware Cloud Foundation 4.x (alle Systeme)
- vRealize Suite Lifecycle Manager 8.x (alle Systeme)
- VMware Workspace One Access 20.10 (Linux)
- VMware Workspace One Access 20.01 (Linux)
- VMware Identity Manager 3.3.3 (Linux)
- VMware Identity Manager 3.3.2 (Linux)
- VMware Identity Manager 3.3.1 (Linux)
- VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
- VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)