Ciberseguridad: Notificación Vulnerabilidad VMware

Estimados clientes,

El equipo de Ciberseguridad de Netglobalis informa:

VMware ha publicado 2 vulnerabilidades, que se clasifican en 1 de severidad Alta y 1 de severidad baja. Dichas vulnerabilidades afectan a VMware Workspace ONE Access, Identity Manager y vRealize Automation, permitiendo la alteración del encabezado del host y divulgación de información.

Severidad Alta

CVE-2021-22002 – Alteración del encabezado del host que conduce a una solicitud del lado del servidor en el servicio restringido interno

VMware Workspace ONE Access and Identity Manager permiten acceder a la aplicación web / cfg y a los puntos finales de diagnóstico, en el puerto 8443, a través del puerto 443 mediante un encabezado de host personalizado. VMware ha evaluado este problema como de gravedad » Importante » con una puntuación base máxima de CVSSv3 de 8,6 .

Un actor malintencionado con acceso de red al puerto 443 podría manipular los encabezados del host para facilitar el acceso a la aplicación web / cfg, además, un actor malintencionado podría acceder a los puntos finales de diagnóstico / cfg sin autenticación.

Severidad Baja

CVE-2021-22003 – Vulnerabilidad de divulgación de información

VMware Workspace ONE Access and Identity Manager, proporcionan involuntariamente una interfaz de inicio de sesión en el puerto 7443. VMware ha evaluado que este problema es de gravedad » baja » con una puntuación base máxima de CVSSv3 de 3,7.

Un actor malintencionado con acceso de red al puerto 7443 puede intentar la enumeración del usuario o la fuerza bruta del punto final de inicio de sesión, lo que puede ser práctico o no según la configuración de la política de bloqueo y la complejidad de la contraseña para la cuenta de destino.

Productos afectados:

• VMware Workspace ONE Access (Access) versiones 20.10.01 y 20.10
• VMware Identity Manager (vIDM) versiones 3.3.2, 3.3.3, 3.3.4 y 3.3.5
• VMware Identity Manager (vIDM) versión 7.6 y 8.x
• VMware Cloud Foundation versión 4.x
• vRealize Suite Lifecycle Manager versión 8.x

Debido a la existencia de estas vulnerabilidades se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor.