CVE-2020-4006

VMware Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector contain a command injection vulnerability. An attacker with network access to the administrative configurator on port 8443 and a valid password for the configurator administrator account can execute commands with unrestricted privileges on the underlying operating system.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник, имеющий сетевой доступ к административному интерфейсу (конфигуратору) на порту 8443 и действительный пароль учетной записи администратора этого конфигуратора, может внедрить и выполнить произвольные команды в операционной системе с максимальными привилегиями.

Как исправить

Установите официальный патч от VMware, соответствующий вашей версии продукта.

  1. Определите точную версию вашего продукта.

  2. Обновитесь до одной из исправленных версий:

    • VMware Workspace ONE Access (Access): 20.10, 20.01.0.1, 19.03.0.1
    • VMware Identity Manager (vIDM): 3.3.4, 3.3.3.1, 3.3.2.2, 3.3.1.4
    • VMware Identity Manager Connector (vIDM Connector): 3.3.4, 3.3.3.1, 3.3.2.2, 3.3.1.4
    • VMware Workspace ONE Access Connector (Access Connector): 20.10, 20.01.0.1, 19.03.0.1

    Ссылка на официальный бюллетень VMware (VMSA-2020-0027): https://www.vmware.com/security/advisories/VMSA-2020-0027.html

  3. Процесс обновления зависит от формата поставки продукта (OVA, Docker). Следуйте официальной документации VMware по обновлению для вашего конкретного компонента.

Временное решение

Если немедленная установка патча невозможна, выполните следующие действия:

  1. Ограничьте сетевой доступ к административному интерфейсу (порт 8443/TCP и 8444/TCP) с помощью брандмауэра.

    • Разрешите подключения только с доверенных IP-адресов (например, с jump-хостов или подсети администраторов).
    • Пример правила для iptables (Linux) для разрешения доступа только из сети 10.1.1.0/24: bash iptables -A INPUT -p tcp --dport 8443 -s 10.1.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 8443 -j DROP iptables -A INPUT -p tcp --dport 8444 -s 10.1.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 8444 -j DROP

  2. Усильте политику паролей для учетной записи администратора конфигуратора. Используйте длинный, сложный пароль и храните его в надежном месте (менеджере паролей).

  3. Рассмотрите возможность размещения компонентов (Access Connector, Identity Manager Connector) за WAF (Web Application Firewall), способным блокировать попытки инъекции команд.

Важно: Временные меры не устраняют уязвимость, а лишь снижают риск эксплуатации. Установка патча обязательна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей