VMware é fortemente afetado pelo Log4j e apresenta falha crítica no UEM. Workspace ONE Unified Endpoint Management pode vazar informações por meio de falsificação de solicitação do lado do servidor.
Os clientes da VMware provavelmente estão tendo um final de ano agitado porque mais de 100 produtos da gigante de TI foram afetados pelo bug Log4j .
Agora eles precisam fazer outro esforço urgente de correção, porque a gigante virty identificou outra falha crítica em seus produtos que considera como requerendo atenção urgente.
O comunicado de segurança VMSA-2021-0029 , que pertence ao CVE-2021-22054, descreve uma solicitação de falsificação do lado do servidor no produto Workspace ONE Unified Endpoint Management (UEM) da VMware.
A falha é avaliada em 9,1 de 10 no Common Vulnerability Scoring System, o que significa que você a ignora por sua conta e risco.
O comunicado da VMware não oferece muitas informações sobre a falha de segurança, afirmando apenas que “Um agente malicioso com acesso à rede para UEM pode enviar suas solicitações sem autenticação e pode explorar esse problema para obter acesso a informações confidenciais.“
Mas isso é o suficiente para mostrar que essa é uma falha assustadora, pois os sistemas UEM podem gerenciar dezenas de milhares de endpoints. O UEM da VMware pode lidar com dispositivos que executam Windows, macOS, Chrome OS, iOS, Android e dispositivos IoT.
A perspectiva de informações desses dispositivos disponíveis ou sobre eles não é reconfortante. Felizmente, existem duas maneiras de corrigir isso.
- Um são os patches, que a VMware disponibilizou veja aqui .
- A outra é editar o
web.configarquivo de produtos com apenas sete linhas de instruções. - Uma vez feito isso e o IIS reiniciado, você deve estar seguro. Mas, como aponta a VMware, você precisará fazer essas alterações em “cada servidor Windows que tenha o aplicativo UEM Console instalado no ambiente”.
Infelizmente, sabe-se que as organizações às vezes perdem o controle de suas frotas de servidores, portanto, será necessário rigor para garantir que essa correção seja aplicada universalmente.
Fonte: The Register
Veja também:
- Novo vetor de ataque Log4j descoberto
- Dridex trolla funcionários com falsos e-mails de rescisão de empregos
- Windows 10 21H2 adiciona proteção contra ransomware ao baseline de segurança
- CISA publica um scanner log4j open source para identificar web vulneráveis
- Pandemia desperta interesse na adoção de Wi-Fi 6
- Apache lança novo patch 2.17.0 para Log4j para resolver vulnerabilidade de negação de serviço
- Receita Federal decide liberar dados de contribuintes no mercado
- Invasores usam Log4j para baixarem ransomware, web shells, backdoors
- Correção para a falha Log4j não protege totalmente contra ataques DoS e roubo de dados
- Apura identifica 17 grupos de ciberataques a empresas no Brasil
- Aprovada adesão do Brasil à Convenção sobre o Crime Cibernético Fonte: Agência Senado
- Apache desativa recurso do Log4j na versão 2.16
Deixe sua opinião!