آسیب پذیری تزریق کد در محصولات VMware

تاریخ انتشار : 2020/12/21 | نویسنده : _SHRoot_

آسیب پذیری تزریق کد در محصولات VMware

 

آسیب پذیری شناخته شده ای با شناسه آسیب پذیری CVE-2020-4006 وجود دارد که از درجه حساسیت 7.2 در مقیاس CVSS3.0 برخوردار است. البته شایان ذکر است که VMware در اولین بررسی انجام داده، آسیب پذیری CVE-2020-4006 را با درجه حساسیت 9.1 تشخیص داد، چرا که معتقد بود این آسیب پذیری می تواند بر روی پارامتر "Scope" تاثیرگذار باشد و در اصل این امکان را برای مهاجم فراهم می آورد تا به منابعی خارج از محدوده تحت تاثیر قرار گرفته در این آسیب پذیری دست یابد، اما در بازبینی صورت گرفته توسط VMware، امکان تغییر scope مهاجم توسط این آسیب پذیری رد شد و در نتیجه این مقدار به 7.2 تقلیل یافت.

به کمک آسیب پذیری عنوان شده، مهاجم می تواند به اجرای موفق حمله تزریق کد (Command Injection) بر روی بخش تنظیمات مدیریتی (Administrative Configurator) برخی از محصولات VMware بپردازد. در ادامه لیستی از محصولات آسیب پذیر VMware آورده شده است:

  • - VMware Workspace One Access (Access)
  • -  VMware Workspace One Access Connector (Access Connector) 
  • - VMware Identity Manager (vIDM)
  • - VMware Identity Manager Connector (vIDM Connector)
  • - VMware Cloud Foundation
  • -  vRealize Suite Lifecycle Manager

برای این که مهاجمان بتوانند حمله تزریق کد را با موفقیت بر روی هر یک از محصولات آسیب پذیر شناسایی شده اجرا نمایند، می بایست شرایط زیر را داشته باشند:

  • - مهاجم می بایست با صفحه وب تنظیمات مدیریتی محصولات VMware که اغلب بر روی port:8443 میزبانی می شوند، ارتباط داشته باشد.
  • - مهاجم می بایست اطلاعات یک حساب کاربری Administrator معتبری که بتواند بر روی صفحه ورود تنظیمات مدیریتی، login نماید را در اختیار داشته باشد.  
  • با وجود این که دو شرط نام برده، به نظر می رسد که تنها با دسترسی گرفتن مهاجم به شبکه داخلی قربانیان فراهم می شود و به همین دلیل از میزان بحرانی بودن این آسیب پذیری می کاهد، اما طی گزارش آژانس امنیت ملی آمریکا (NSA)، نمونه هایی از exploit شدن موفق آسیب پذیری مذکور توسط هکرهای روسی بر روی محصولات آسیب پذیر در سراسر دنیا کشف شده است که این امر اهمیت به روز رسانی و برطرف کردن آسیب پذیری CVE-2020-4006 را دو چندان می کند.

در گزارش ارائه شده توسط NSA، هکرهای روسی با بهره برداری از آسیب پذیری موجود، ابتدا از طریق اجرای دستورات مخرب بر روی سرورهای میزبان محصولات VMware، یک Web shell بر روی آنان آپلود کرده اند و سپس از این طریق، برای خود یک backdoor بر روی سیستم ها به جای گذاشته اند تا کنترل از راه دور سیستم ها را در اختیار داشته باشند. با توجه به دسترسی که مهاجمان تا کنون توانسته اند برای خود ایجاد نمایند، این احتمال وجود دارد که در گام بعدی حملات خود، از طریق ارسال SAML های جعلی برای سرویس ADFS شبکه قربانیان خود، به اطلاعات به مراتب حساس تر و بحرانی تری از شبکه قربانیان دست یابند.

 

مراحل رفع آسیب پذیری CVE-2020-4006

1- نصب وصله های امنیتی ارائه شده توسط شرکت VMware.

2- چنان چه موفق به نصب وصله های امنیتی ارائه شده توسط شرکت VMware نشدید، می توانید از دستورالعمل های ذکر شده در اینجا بهره ببرید. توجه داشته باشید که راهکار ارائه شده در این لینک، تنها برای محصولات زیر کارآیی دارد و توصیه ای به پیاده سازی آنان برای سایر محصولات VMware نمی شود.

VMware Workspace ONE Access

VMware Identity Manager

VMware Identity Manager Connector