Vulnerabilidad de VMware impacta en varios productos
Según un comunicado emitido por el fabricante VMware el 2021-08-05, se detectaron dos vulnerabilidades. Los CVEs de las mismas son: CVE-2021-22002 y CVE-2021-22003
¿Cómo me afecta?
CVE-2021-22002
VMware Workspace One Access y Identity Manager permiten acceder a la app web /cfg, usando un host header modificado por el puerto 443. VMware clasificó a esta incidencia como severidad importante.
CVE-2021-22003
VMware Workspace One Access y Identity Manager proporcionan una interfaz de logeo en el puerto 7443. Dependiendo de las políticas de bloqueo y la complejidad de las contraseñas, se podría terminar accediendo a dichas tecnologías. Es por esto que VMware clasificó a esta incidencia como severidad baja.
¿A quiénes afecta?
Los productos afectados (con sus respectivas versiones) son los siguientes:
VMware Workspace ONE Access
20.01
20.10
20.10.01
VMware Identity Manager (vIDM)
3.3.2
3.3.3
3.3.4
3.3.5
VMware vRealize Automation (vRA)
7.6
8.x
VMware Cloud Foundation
4.x
vRealize Suite Lifecycle Manager
8.x
Notas
vRealize Automation 7.6 es afectado debido a que utiliza VMware Identity Manager (vIDM) embebido.
Por otro lado, vRealize Automation 8.x no se ve afectado por esta vulnerabilidad. Adicionalmente, si vRA fue implementado junto con vIDM, la solución solo se debería aplicar a este último.
Este parche incluye otros parches de seguridad previamente publicados y puede ser aplicado sin haber instalado las versiones anteriores
Estas incidencias afectan solo a los appliances y no a los conectores.
Aplicación del hotfix
Antes de comenzar:
A. Tomar una snapshot sin memoria de la VM
B. Relevar el build number del appliance, ubicado en:
https://<fqdn_of_appliance>:8443/cfg/login
C. Descargar los parches:
| PRODUCTO | VERSIÓN |
| VMware Workspace ONE Access | 20.10.0.1 |
| VMware Workspace ONE Access | 20.10 |
| VMware Workspace ONE Access | 20.01 |
| VMware Identity Manager | 3.3.5 |
| VMware Identity Manager | 3.3.4 |
| VMware Identity Manager | 3.3.3 |
| VMware Identity Manager | 3.3.2 |
Procedimiento
La aplicación del parche tomará aproximadamente 10 minutos para cada appliance. Adicionalmente, no se requiere que todo el ambiente de Workspace ONE Access/vIDM quedé fuera de servicio ya que cada appliance puede tratarse de forma independiente.
1. Acceder al appliance con el usuario sshuser y cambiarse al usuario root
2. Transferir el archivo .zip, descargado previamente, al appliance.
Es recomendable realizar la transferencia con el protocolo SCP.
3. Descomprimir el archivo zip con el siguiente comando:
unzip HW-137959-<versión del appliance>
4. Acceder a los archivos dentro de la carpeta que se creó luego de descomprimir el zip
cd HW-137959-<versión del appliance>
5. Ejecutar el script utilizando el siguiente comando:
./HW-137959-<versión del appliance>
6. Asegurarse que la versión del appliance es compatible con la versión del parche
Si el parche no posee la versión correcta, surgirá un mensaje de la consola indicando lo siguiente: “Please download the correct version of the patch”. Si esto ocurre, se requiere descargar la versión adecuada para el appliance.
7. Evaluar el warning con el fin de crear un backup antes de proceder con la aplicación del parche.
Ingresar ‘y’ y presionar <Enter> para continuar.
8. Esperar aproximadamente 5 minutos para la instalación del parche
9. Esperar aproximadamente 5 minutos para la inicialización de todos los servicios del appliance
Para validar que los servicios están corriendo correctamente:
service horizon-workspace status
10. Ingresar a la página de configuración del appliance para verificar que la versión del build number se haya actualizado correctamente.
Por ejemplo: https://<fqdn_of_appliance>:8443/cfg/login
Método de Rollback:
1. Acceder al appliance con el usuario sshuser y cambiarse al usuario root
2. Detener el servicio horizon-workspace
service horizon-workspace stop
3. Ejecutar el archivo WAR que se estaba utilizando antes de la instalación del parche:
deployWar /usr/local/horizon/war/svadmin-webapp-0.1.war cfg
4. Reemplazar el archivo server.xml por el backup creado previo a la instalación
mv /opt/vmware/horizon/workspace/conf/server.xml.bk/opt/vmware/horizon/workspace/conf/server.xml
5. Reemplazar el archivo cert-proxy-server-0.1.jar con el backup creado previo a la instalación
mv /opt/vmware/certproxy/lib/cert-proxy-server-0.1.jar.bk /opt/vmware/certproxy/lib/cert-proxy-server-0.1.jar
6. Si el Mobile SSO(Android) esta configurado dentro del tenant:
a. Reiniciar el servicio vmware-certproxy con el siguiente comando:
service vmware-certproxy restart
b. Esperar 3 minutos apróximadamente para que el servicio vmware-certproxy inicie correctamente
c. Validar que dicho servicio se está ejecutando:
service vmware-certproxy status
7. Remover el archivo flag. Para esto se debe reemplazar a la versión del appliance en el comando por la versión que tenía el appliance previo a la instalación.
a. Ejemplo (versión 20.10):
rm -f /usr/local/horizon/conf/flags/HW-137959-<appliance-version>.applied
8. Reiniciar el servicio horizon-workspace
service horizon-workspace restart
9. Esperar 5 minutos para que el servicio inicie correctamente
10. Validar que el servicio está corriendo
service horizon-workspace status
11. Asegurarse de que el rollback finalizó sin problemas ingresando a la página de configuración. Allí debería indicar que el build number del appliance es el que estaba antes de la instalación.
a. Por ejemplo: https://<fqdn_of_appliance>:8443/cfg/login
Links de referencia
KB para la aplicación del parche
Clasificación de vulnerabilidad según VMware
¿Necesitás ayuda para resolver el problema?
Dejanos tus datos para que nuestro equipo se ponga inmediatamente en contacto con vos.