CISA a demandé aujourd’hui aux administrateurs et aux utilisateurs de VMware de corriger une vulnérabilité de sécurité critique trouvée dans la console Workspace ONE UEM dont les acteurs malveillants pourraient abuser pour accéder à des informations sensibles.
Workspace ONE Unified Endpoint Management (ONE UEM) est une solution VMware pour la gestion à distance sans fil des ordinateurs de bureau, des appareils mobiles, durcis, portables et IoT.
Le défaut suivi comme CVE-2021-22054 est une vulnérabilité de falsification de demande côté serveur (SSRF) avec un indice de gravité de 9,1/10 et ayant un impact sur plusieurs versions de console ONE UEM.
Les acteurs malveillants non authentifiés peuvent exploiter cette vulnérabilité à distance dans le cadre d’attaques de faible complexité sans interaction avec l’utilisateur.
« Un acteur malveillant disposant d’un accès réseau à UEM peut envoyer ses demandes sans authentification et peut exploiter ce problème pour accéder à des informations sensibles », a expliqué VMware dans un avis de sécurité publié jeudi.
« CISA encourage les utilisateurs et les administrateurs à consulter l’avis de sécurité VMware VMSA-2021-0029 et à appliquer les mesures d’atténuation nécessaires », CISA mentionné aujourd’hui.
Solution de contournement disponible
VMware fournit également une atténuation à court terme pour bloquer les tentatives d’exploitation si vous ne pouvez pas déployer immédiatement l’une des versions corrigées du tableau ci-dessus.
La solution de contournement temporaire nécessite que vous éditiez le fichier UEM web.config en suivant les étapes décrites ici et redémarrer toutes les instances de serveur sur lesquelles cette solution de contournement a été appliquée.
VMware fournit également des étapes pour valider que la solution de contournement bloquera avec succès les attaques à l’aide des exploits CVE-2021-22054.
Pour tester si la solution de contournement a été correctement appliquée, vous devez ouvrir un navigateur Web et accéder à ces URL (vous ne devriez obtenir que des réponses 404 Not Found) :
https://[UEM Console URL]/airwatch/blobhandler.ashx?url=test https://[UEM Console URL]/catalog/blobhandler.ashx?url=test https://[UEM Console URL]/airwatch/blobhandler.ashx?param1=test&url=test https://[UEM Console URL]/catalog/blobhandler.ashx?param1=test&url=test
« La réinitialisation d’IIS entraînera la déconnexion des administrateurs connectés à l’instance de serveur en cours de correctif. Les administrateurs devraient pouvoir se reconnecter peu de temps après », explique VMware.