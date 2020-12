VMware heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in Workspace ONE Access die door de Amerikaanse geheime dienst NSA is gevonden. Workspace ONE Access is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren.

Een aanvaller met toegang tot de configuratiemanager op poort 8443 en een geldig wachtwoord voor het beheerdersaccount kan door de kwetsbaarheid op het onderliggende besturingssysteem commando's met onbeperkte rechten uitvoeren. De kwetsbaarheid (CVE-2020-4006) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 7,2 beoordeeld. In eerste instantie ging VMware nog uit van een score van 9,1.

Het probleem speelde in Workspace One Access, Workspace One Access Connector, Identity Manager, Identity Manager Connector. VMware waarschuwde op 23 november voor de kwetsbaarheid, maar had op dat moment nog geen update beschikbaar. Die is nu wel te downloaden, waarop het beveiligingsbulletin is aangepast. Daarin wordt nu ook het National Security Agency bedankt voor het melden van de kwetsbaarheid.

Het komt vaker voor dat de NSA kwetsbaarheden in software ontdekt en aan de leverancier rapporteert. Begin dit jaar ging het bijvoorbeeld om een kwetsbaarheid in Windows 10 die het mogelijk maakte om digitale handtekeningen van bestanden te vervalsen.