VMware publica parches para solucionar fallos cr铆ticos en varios de sus productos

VMware ha publicado actualizaciones de seguridad para una serie de productos con el fin de solucionar una vulnerabilidad cr铆tica que podr铆a ser explotada para obtener acceso a informaci贸n confidencial.

Los fallos, identificados como CVE-2021-22002 (puntuaci贸n CVSS: 8,6) y CVE-2021-22003 (puntuaci贸n CVSS: 3,7), afectan a VMware Workspace One Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager.

CVE-2021-22002 se refiere a un problema con la forma en que VMware Workspace One Access y el Gestor de identidades permiten el acceso a la aplicaci贸n web “/cfg” y a los endpoints de diagn贸stico a trav茅s del puerto 443 mediante la manipulaci贸n de una cabecera de host, lo que resulta en una llamada del servidor.

“Un actor malicioso con acceso al puerto 443 podr铆a manipular las cabeceras del host para facilitar el acceso a la aplicaci贸n web /cfg. Asimismo, un actor malicioso podr铆a acceder a los endpoints de diagn贸stico /cfg sin autenticaci贸n”, afirma la compa帽铆a en su aviso. 

VMware tambi茅n ha abordado una vulnerabilidad de divulgaci贸n de informaci贸n que afecta a VMware Workspace One Access and Identity Manager a trav茅s de una interfaz de inicio de sesi贸n expuesta inadvertidamente en el puerto 7443. Un atacante con acceso a la red en el puerto 7443 podr铆a llevar a cabo un ataque de fuerza bruta, que seg煤n la empresa “puede o no ser pr谩ctico en funci贸n de la configuraci贸n de la pol铆tica de bloqueo y la complejidad de la contrase帽a de la cuenta objetivo”.

Para los clientes que no pueden actualizar a la 煤ltima versi贸n, VMware est谩 ofreciendo un script de soluci贸n para CVE-2021-22002 que puede ser implementado de forma independiente sin necesidad de desconectar los dispositivos vRA. “La soluci贸n deshabilita la capacidad de resolver la p谩gina de configuraci贸n de vIDM. Este endpoint no se utiliza en los entornos vRA 7.6 y no causar谩 ning煤n impacto en la funcionalidad”, dijo la compa帽铆a.



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.