BDU:2020-05436: Уязвимость программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, платформы виртуализации VMware Cloud Foundation, консоли администрирования VMware Identity Manager, платформы администрирования приложений VMware Workspace One Access, связанная с недостаточной проверкой аргументов, передаваемых в команду, позволяющая нарушителю выполнить произвольные команды
Детали уязвимости BDU:2020-05436
Описание
Уязвимость программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, платформы виртуализации VMware Cloud Foundation, консоли администрирования VMware Identity Manager, платформы администрирования приложений VMware Workspace One Access, связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
Что делать с BDU:2020-05436
Высокая уязвимость (CVSS 9.1) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HAV:N/AC:L/Au:S/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Позволяет выполнять произвольные команды через управляющие строки.
Как атакуют и что делать ▾
Сценарий атаки
Пользовательский ввод подставляется в команду без экранирования. Метасимволы (;, |, &&) позволяют выполнить вторую команду.
Последствия
Выполнение произвольных команд ОС на сервере.
Рекомендации
Используйте API вместо shell, экранируйте аргументы, применяйте white-list символов.
Тактики и техники
Уязвимое ПО (13)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Broadcom Inc. | VMware Cloud Foundation | 4.0 | Не указана |
| Omnissa | Omnissa Workspace ONE Access Connector | 20.01 | Не указана |
| Omnissa | Omnissa Workspace ONE Access Connector | 20.10 | Не указана |
| Omnissa | Omnissa Workspace ONE Access Connector | 20.01.0.0 | Не указана |
| Omnissa | Omnissa Workspace ONE Access Connector | 20.01.0.1 | Не указана |
| Omnissa | Omnissa Workspace ONE Access | 3.3.1 | Не указана |
| Omnissa | Omnissa Workspace ONE Access | 3.3.2 | Не указана |
| Omnissa | Omnissa Workspace ONE Access | 3.3.3 | Не указана |
| Omnissa | Omnissa Workspace ONE Access Connector | 3.3.1 | Не указана |
| Omnissa | Omnissa Workspace ONE Access Connector | 3.3.2 | Не указана |
| Omnissa | Omnissa Workspace ONE Access Connector | 3.3.3 | Не указана |
| Omnissa | Omnissa Workspace ONE Access Connector | 3.32 | Не указана |
| Broadcom Inc. | VMware Aria Suite Lifecycle | 8.0 | Не указана |
Среды функционирования (2)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Сообщество свободного программного обеспечения | Linux | - | Не указана |
| Microsoft Corp | Windows | - | Не указана |
Рекомендации по устранению
Использование рекомендаций: https://kb.vmware.com/s/article/81754 https://www.vmware.com/security/advisories/VMSA-2020-0027.html
SLA ФСТЭК №117
24 часа
по базовой оценке CVSS 9.1
Уточните SLA под вашу среду
Базовый балл 9.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Немедленно устранить
Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
CISA KEV — активно эксплуатируется
Включена в каталог Known Exploited Vulnerabilities. Устранение — приоритет.
Информация
Обнаружена
2020-11-23
Опубликована
2020-11-26
Обновлена
2021-09-28
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2023-03092Уязвимость платформы администрирования приложений VMware Workspace One Access, консоли администрирования VMware Identity
BDU:2022-04880Уязвимость платформы администрирования приложений VMware Workspace One Access и консоли администрирования VMware Identit
BDU:2022-04799Уязвимость пользовательского интерфейса платформы администрирования приложений VMware Workspace One Access, консоли адми
BDU:2022-04888Уязвимость платформы администрирования приложений VMware Workspace One Access, консоли администрирования VMware Identity
BDU:2022-04889Уязвимость платформы администрирования приложений VMware Workspace One Access, консоли администрирования VMware Identity
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.