VMWare管理平臺產品Workspace One爆重大指令注入漏洞，官方公布緩解措施，修補程式還在路上

VMware本周公布旗下Workspace One管理組態工具存在重大風險漏洞，影響多個產品。由於修補程式還在製作中，VMware因而緊急提供緩解措施。

編號 CVE-2020-4006的漏洞為一指令注入漏洞。該漏洞是由第三方研究單位透過私下管道通報VMware。VMware並未提供詳細資訊，僅表示該漏洞能讓經由port 8443存取此一管理組態工具，並持有效的管理員帳號、密碼的攻擊者，以不受限的權限在底層作業系統執行指令。本漏洞CVSS 3.1風險層級達9.1，屬於重大風險。

 CVE-2020-4006影響VMware Workspace One產品線，主要危及Linux 版本，包括Access 20.01/20.10、Access Connector 20.01/20.10 、Identity Manager（vIDM）3.3.x及Identity Manager Connector（vIDM Connector）3.3.x。其中vIDM Connector 的Windows 3.3.x版本也受到影響。

VMware表示目前正在製作修補程式，因此該公司也提供緩解措施(workaround)協助用戶免於遭駭，主要是加入指令碼。VMWare也提醒用戶，該措施只是暫時性解決方案，而在啟用後，將暫時無法變更Workspace One所管理的設定。

而美國網路安全暨基礎架構安全署（Cybersecurity and Infrastructure Security Agency，CISA）也呼籲企業用戶儘速套用VMware提供的緩解措施，避免被攻擊者接管系統。