VMware本周公布旗下Workspace One管理組態工具存在重大風險漏洞,影響多個產品。由於修補程式還在製作中,VMware因而緊急提供緩解措施。
編號 CVE-2020-4006的漏洞為一指令注入漏洞。該漏洞是由第三方研究單位透過私下管道通報VMware。VMware並未提供詳細資訊,僅表示該漏洞能讓經由port 8443存取此一管理組態工具,並持有效的管理員帳號、密碼的攻擊者,以不受限的權限在底層作業系統執行指令。本漏洞CVSS 3.1風險層級達9.1,屬於重大風險。
CVE-2020-4006影響VMware Workspace One產品線,主要危及Linux 版本,包括Access 20.01/20.10、Access Connector 20.01/20.10 、Identity Manager(vIDM)3.3.x及Identity Manager Connector(vIDM Connector)3.3.x。其中vIDM Connector 的Windows 3.3.x版本也受到影響。
VMware表示目前正在製作修補程式,因此該公司也提供緩解措施(workaround)協助用戶免於遭駭,主要是加入指令碼。VMWare也提醒用戶,該措施只是暫時性解決方案,而在啟用後,將暫時無法變更Workspace One所管理的設定。
而美國網路安全暨基礎架構安全署(Cybersecurity and Infrastructure Security Agency,CISA)也呼籲企業用戶儘速套用VMware提供的緩解措施,避免被攻擊者接管系統。
熱門新聞
2024-12-24
2024-12-27
2024-12-22
2024-11-29
2024-12-20
2024-08-14