Vulnerabilidad de VMware impacta en varios productos

Incidencias en Workspace ONE Access, Identity Manager y vRealize Automation

Diaco,Juan Cruz

Según un comunicado emitido por el fabricante VMware el 2021-08-05, se detectaron dos vulnerabilidades. Los CVEs de las mismas son: CVE-2021-22002  y  CVE-2021-22003

¿Cómo me afecta?

CVE-2021-22002

VMware Workspace One Access y Identity Manager permiten acceder a la app web /cfg, usando un host header modificado por el puerto 443. VMware clasificó a esta incidencia como severidad importante.

CVE-2021-22003

VMware Workspace One Access y Identity Manager proporcionan una interfaz de logeo en el puerto 7443. Dependiendo de las políticas de bloqueo y la complejidad de las contraseñas, se podría terminar accediendo a dichas tecnologías. Es por esto que VMware clasificó a esta incidencia como severidad baja.

¿A quiénes afecta?

Los productos afectados (con sus respectivas versiones) son los siguientes:

VMware Workspace ONE Access 

  • 20.01

  • 20.10

  • 20.10.01

VMware Identity Manager (vIDM)

  • 3.3.2

  • 3.3.3

  • 3.3.4

  • 3.3.5

 VMware vRealize Automation (vRA)

  • 7.6

  • 8.x

VMware Cloud Foundation

  • 4.x

vRealize Suite Lifecycle Manager

  • 8.x


Notas

  • vRealize Automation 7.6 es afectado debido a que utiliza VMware Identity Manager (vIDM) embebido. 

  • Por otro lado, vRealize Automation 8.x no se ve afectado por esta vulnerabilidad. Adicionalmente, si vRA fue implementado junto con vIDM, la solución solo se debería aplicar a este último.

  • Este parche incluye otros parches de seguridad previamente publicados y puede ser aplicado sin haber instalado las versiones anteriores

  •  Estas incidencias afectan solo a los appliances y no a los conectores.


Aplicación del hotfix


Antes de comenzar:

A. Tomar una snapshot sin memoria de la VM

B. Relevar el build number del appliance, ubicado en:

https://<fqdn_of_appliance>:8443/cfg/login

C. Descargar los parches:

PRODUCTOVERSIÓN
VMware Workspace ONE Access
20.10.0.1
VMware Workspace ONE Access
20.10
VMware Workspace ONE Access
20.01
VMware Identity Manager
3.3.5
VMware Identity Manager
3.3.4
VMware Identity Manager
3.3.3
VMware Identity Manager
3.3.2


Procedimiento

La aplicación del parche tomará aproximadamente 10 minutos para cada appliance. Adicionalmente, no se requiere que todo el ambiente de Workspace ONE Access/vIDM quedé fuera de servicio ya que cada appliance puede tratarse de forma independiente.

1. Acceder al appliance con el usuario sshuser y cambiarse al usuario root

2. Transferir el archivo .zip, descargado previamente, al appliance. 

  • Es recomendable realizar la transferencia con el protocolo SCP.

3. Descomprimir el archivo zip con el siguiente comando:

    unzip HW-137959-<versión del appliance> 

4. Acceder a los archivos dentro de la carpeta que se creó luego de descomprimir el zip
cd HW-137959-<versión del appliance>

5. Ejecutar el script utilizando el siguiente comando:

./HW-137959-<versión del appliance>

6. Asegurarse que la versión del appliance es compatible con la versión del parche

  • Si el parche no posee la versión correcta, surgirá un mensaje de la consola indicando lo siguiente: “Please download the correct version of the patch”. Si esto ocurre, se requiere descargar la versión adecuada para el appliance.

7. Evaluar el warning con el fin de crear un backup antes de proceder con la aplicación del parche.

  • Ingresar ‘y’ y presionar <Enter> para continuar.

8. Esperar aproximadamente 5 minutos para la instalación del parche

9. Esperar aproximadamente 5 minutos para la inicialización de todos los servicios del appliance

  • Para validar que los servicios están corriendo correctamente:

service horizon-workspace status

10. Ingresar a la página de configuración del appliance para verificar que la versión del build number se haya actualizado correctamente.

  • Por ejemplo: https://<fqdn_of_appliance>:8443/cfg/login


Método de Rollback:

1. Acceder al appliance con el usuario sshuser y cambiarse al usuario root

2. Detener el servicio horizon-workspace

service horizon-workspace stop

3. Ejecutar el archivo WAR que se estaba utilizando antes de la instalación del parche:

deployWar /usr/local/horizon/war/svadmin-webapp-0.1.war cfg

4. Reemplazar el archivo server.xml por el backup creado previo a la instalación

       mv /opt/vmware/horizon/workspace/conf/server.xml.bk/opt/vmware/horizon/workspace/conf/server.xml

5. Reemplazar el archivo cert-proxy-server-0.1.jar con el backup creado previo a la instalación

    mv /opt/vmware/certproxy/lib/cert-proxy-server-0.1.jar.bk /opt/vmware/certproxy/lib/cert-proxy-server-0.1.jar

6. Si el Mobile SSO(Android) esta configurado dentro del tenant:

    a. Reiniciar el servicio vmware-certproxy con el siguiente comando:

        service vmware-certproxy restart

    b. Esperar 3 minutos apróximadamente para que el servicio vmware-certproxy inicie correctamente

     c. Validar que dicho servicio se está ejecutando:

        service vmware-certproxy status

7. Remover el archivo flag. Para esto se debe reemplazar a la versión del appliance en el comando por la versión que tenía el appliance previo a la instalación.

    a. Ejemplo (versión 20.10): 

        rm -f /usr/local/horizon/conf/flags/HW-137959-<appliance-version>.applied

8. Reiniciar el servicio horizon-workspace

service horizon-workspace restart

9. Esperar 5 minutos para que el servicio inicie correctamente

10. Validar que el servicio está corriendo

service horizon-workspace status

11. Asegurarse de que el rollback finalizó sin problemas ingresando a la página de configuración. Allí debería indicar que el build number del appliance es el que estaba antes de la instalación. 

    a. Por ejemplo: https://<fqdn_of_appliance>:8443/cfg/login


Links de referencia

VMSA-2021-0016

KB para la aplicación del parche

Clasificación de vulnerabilidad según VMware


¿Necesitás ayuda para resolver el problema?

Dejanos tus datos para que nuestro equipo se ponga inmediatamente en contacto con vos.