VMware Vulnerabilities

Recommendation: Follow VMware Instruction

30/11/2020
CVE
חשיבות
מושפעים מרכזיים
VMware Products and Solutions

הקדמה:

חברת VMware הינה בין חברות הוירטואליזציה הגדולות בעולם. בתקופה האחרונה אנו למדים על חולשות רבות במוצריה השונים בעלי חומרה קריטית אשר יכולות לפגוע בארגון, בפעילות העסקית שלו ואף באמינותו. חברת VMware שיחררה פתרונות "יצירתיים" ו-Patches מתאימים לצורך מיגור החולשות.
במאמר זה נתרכז בשני CVEs שונים אשר מהווים חולשות קריטיות שפורסמו בחודש האחרון.
שימו לב כי שימוש במערכת עדכון אוטומטית (Automated Patch Management) עד כמה שנשמע פשוט ונכון, לא מבוצע בארגונים רבים ולכן הארגון נמצא בחשיפה לתקיפות הללו.

החולשה הראשונה: CVE-2020-4006

המלצה:

מימוש ה-Workaround עד אשר יהיה Patch רשמי של חברת Vmware.

מידע על החולשה:

בתאריך 23.1.2020 פורסמה חולשה בדרגת CVSS גבוהה אשר איננה בעלת Patch רשמי לתיקון החולשה.
החולשה התגלתה במספר מוצרים של חברת VMware אשר מהווים חלק מרכזי בארגונים רבים.
נכון לכתיבת שורות אלה, הפתרון המוצע על ידי חברת VMware הינו לבצע Workaround (מעקף) זאת כדי למנוע מימוש החולשה. החולשה הינה מסוג Command Injection (הרצה של קוד זדוני למערכת) ו-Privilege Escalation (העלאת הרשאות משתמש במערכת באופן שלא הוגדר על ידי מנהל המערכת).
מימוש הפריצה מתבצע על בסיס פורט 8443 השמור להתחברות ל-administrative configurator בנוסף לסיסמא נכונה ל-configurator admin account אשר מאפשר למשתמש להריץ פקודות ללא הגבלת הרשאות.
המוצרים אשר חשופים לפגיעות הינם:
• VMware Workspace One Access v20.10 (Linux)
• VMware Workspace One Access v20.01 (Linux)
• VMware Identity Manager v3.3.3 (Linux)
• VMware Identity Manager v3.3.2 (Linux)
• VMware Identity Manager v3.3.1 (Linux)
• VMware Identity Manager Connector v3.3.2 and v3.3.1 (Linux)
• VMware Identity Manager Connector v3.3.3, 3.3.2, and v3.3.1 (Windows)
• VMware Cloud Foundation (vIDM) v4.x (running on any platform)
• vRealize Suite Lifecycle Manager (vIDM) v8.x (running on any platform)

החולשה השנייה: 3992-CVE-2020

המלצה:

יש לבצע התקנה של העדכון האחרון שיצא (Latest Patch, כיוון שהעדכון הראשוני היה לא יציב).

מידע על החולשה:

בתאריך 6.11.2020 פורסם Exploit לחולשה CVE-2020-3992 אשר הינה מסוג Remote Code Execution (הרצת קוד) על רכיב ה-ESXi (ה-Hypervisor של חברת VMware) אשר משתמש בחולשה ברכיב ה- Service location Protocol ובפורט 427. החולשה משתמשת בתקיפה מסוג Use-After-Free (UAF) (כאשר המערכת איננה מוחקת את ה-Pointer בזיכרון לאחר השימוש במערכת ובכך תוקף יכול להריץ קוד לאחר הפעלת Error במערכת)
החולשה "תוקנה" על ידי עדכון ב-20.10.20 אך הוא אינו מספק ולכן החברה שיחררה עדכון מתוקן ב-4.11.2020.
במידה ואירגונך עדכן ל-Patch הראשוני יש לבצע עדכון ל-Patch המעודכן.
במידה ותוקף מצליח לנצל חולשה זו הוא יכול לבצע הצפנה של ה-VMDK, לסגור שרתים, להפעיל Ransomware, לעקוף אמצעי אבטחה של מערכת ההפעלה ופעולות זדוניות נוספות.
המוצרים אשר חשופים לפגיעות הינם:
• ESXi 7.0
• ESXi 6.7
• ESXi 6.5
• VMware Cloud Foundation (ESXi) 4.x
• VMware Cloud Foundation (ESXi) 3.x

דבר העורך:

שימוש בטכנולוגיות וירטואליזציה משמשות כבסיס להרצה של מערכות בארגון. השגת שליטה על רכיבי הווירטואליזציה הארגוניים מהווים יעד מרכזי לתוקף ויעד מרכזי בהגנה על המערכות הארגוניות. כאשר ישנה חולשה ברכיבי הווירטואליזציה, מרחב התקיפה איננו מסתכם במערכת בודדת ולכן יש לבצע עדכונים במהירות האפשרית, זאת כדי למגר תקיפה רוחבית על הארגון אשר עלולה לפגוע בתהליכים עסקיים ובמקרים רבים אף לגרום להשבתה מלאה של הארגון.
חולשות מסוג זה נפוצות במערכות רבות. מערכת עדכונים אוטומטית מפשטת את התהליך בצורה משמעותית הן בטווח המיידי והן בטווח הרחוק אל מול חולשות עתידיות.

מקור פרסום החולשה:

ThreatPost
נכתב ע״י Maor Shaybet

Security Engineer

פוסטים נוספים

01/03/2021
Detect Cryptocurrency miner in your environment

הביטקויין כבר חצה את ה- 50K דולר.
מה אם נגלה זה בא על חשבון הארגון שלך?

30/11/2020
VMware Vulnerabilities

חברת VMware הינה בין חברות הוירטואליזציה הגדולות בעולם. בתקופה האחרונה אנו למדים על חולשות רבות במוצריה השונים בעלי חומרה קריטית אחר יכולות לפגוע בארגון, בפעילות העסקית שלו ואף באמינותו. חברת VMware שיחררה פתרונות "יצירתיים"
ו-Patches מתאימים לצורך מיגור החולשות.
במאמר זה נתרכז בשני CVEs שונים אשר מהווים חולשות קריטיות שפורסמו בחודש האחרון.

17/11/2020
Microsoft November 2020 - fix for Windows zero-day

מיקרוסופט הפיצה השבוע את העדכון אבטחה החודשי CVE-2020-17807 אשר נועד לתקן פרצות אבטחה אשר נתגלו מאז העדכונים האחרונים.

חלק מפרצות האבטחה נתגלו ע"י חוקרי גוגל מפרויקט Zero-Days Google וחלקם מקושרות לפוגעניות אשר היו קיימות בדפדפן כרום ובמקביל במערכות הפעלה Windows OS הן למחשבים והן לשרתים.

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram