الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: حقن القالب من جانب الخادم/RCEغطاء الكهف: CVE-2022-22954السيرة الذاتية: 3.0 النتيجة: 9.8

ملخص تنفيذي

• كلاود سيكقام فريق أبحاث تهديدات العملاء بتحليل تنفيذ التعليمات البرمجية عن بُعد التي تؤثر على منتجات Vmware التي تتضمن Workspace ONE Access ومدير الهوية.
• يوفر VMware Workspace ONE Access للمستخدمين وصولاً أسرع إلى SaaS والويب وتطبيقات الأجهزة المحمولة الأصلية من خلال المصادقة متعددة العوامل (MFA) والوصول المشروط ووظيفة تسجيل الدخول الأحادي، كما أن VMware Identity Manager هو مكون إدارة الهوية والوصول في Workspace ONE.
• تم تعيين CVE-2022-22954 لحقن القالب من جانب الخادم بحد أقصى لدرجة CVSSv3 9.8 وتشمل إصدارات VMware المتأثرة ما يلي:
  • جهاز VMware Workspace ONE Access - 21.08.0.1، 21.08.0.0، 20.10.0.1، 20.10.0.0
  • جهاز إدارة الهوية من VMware - 3.3.6، 3.3.5، 3.3.4، 3.3.3
• أصدرت VMware التصحيحات الأساسية لإصلاح هذه الثغرة الأمنية.

التحليل

• في 6 أبريل 2022، أصدرت شركة VMware استشاري معالجة ثماني نقاط ضعف موجودة في منتجات VMware المتعددة.
• CVE-2022-22954 هي ثغرة أمنية في حقن القالب من جانب الخادم يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد على الإصدارات المتأثرة. إنه يؤثر على برنامج VMware Workspace ONE Access بالإضافة إلى مدير هوية VMware وقد تم تعيين درجة أساسية حرجة لـ CVSSv3 9.8.
• لاستغلال الثغرة الأمنية، يحتاج المهاجم الذي لديه إمكانية الوصول إلى الشبكة ببساطة إلى إرسال طلب مصمم خصيصًا إلى VMware Workspace ONE أو Identity Manager الضعيف.
• يمكن أن يؤدي الاستغلال الناجح للثغرة الأمنية إلى تنفيذ التعليمات البرمجية عن بُعد على الخادم الضعيف.

معلومات من OSINT

• كشف بحث أجرته شركة Shodan أن 711 نسخة كشفت علنًا عن مثيلات VMware Workspace One.
• استهدفت العديد من الجهات الفاعلة في مجال التهديد، بما في ذلك مجموعات APT، منتجات VMware في الماضي لشن هجمات تتراوح من برامج الفدية إلى التجسس.

[معرف التسمية التوضيحية = «المرفق _19186" align= «alignnone» width="1097"] مثيلات VMware Workspace One التي يمكن الوصول إليها بشكل عام [/caption]

معلومات من منصات الجرائم الإلكترونية

• ناقش العديد من الجهات الفاعلة في مجال التهديد هذه الثغرة الأمنية في العديد من منتديات الجرائم الإلكترونية وقنوات Telegram. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق)
• وتشمل المناقشات المعلومات التالية:
• طرق الاستفادة من التأثير من خلال تسلسل عمليات الاستغلال.
• استعلامات Shodan للبحث عن الحالات الضعيفة في البرية.
• إثبات فعال للمفاهيم (POCs) عن طريق الطلب باستخدام أدوات الاعتراض مثل BurpSuite.

كيف تؤدي SSTI إلى تنفيذ التعليمات البرمجية عن بُعد؟

• تؤدي ثغرة SSTI (حقن القالب من جانب الخادم) إلى القدرة على تنفيذ الأوامر على الخادم البعيد. تم توثيق متجه الهجوم هذا جيدًا ويؤثر تقريبًا على جميع البنى التحتية الخلفية الرئيسية والقوالب ذات الصلة على سبيل المثال - FreeMarker/Java و Velocity/Java و Twig/PHP و Jade/Nodejs والقائمة تطول.
• يمكن أن تحدث هجمات إدخال القالب من جانب الخادم عندما يتم ربط مدخلات المستخدم مباشرة في قالب، بدلاً من تمريرها كبيانات. وبالتالي، يمكن للمهاجمين التلاعب بمحرك القالب عن طريق إدخال توجيهات نموذجية عشوائية.
• يمكن للمهاجم استخدام هذا لتنفيذ الأوامر وتنفيذ حمولات shell العكسية التي قد تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد. هذا يجعل من السهل للغاية استغلال الثغرة الأمنية أثناء منح التحكم الكامل في الخادم.

POC (إثبات المفهوم)

{host} /بوابة الكتالوج/واجهة المستخدم/oauth/التحقق؟ الخطأ =&معرف الجهاز =% 24% 7b% 22% 66% 72% 65% 65% 6d% 61% 72% 6b% 65% 72% 2e% 74% 65% 6d% 70% 6c% 61% 74% 65% 2e 75% 74% 69% 6c 69% 74% 79% 2e% 45% 7 8% 65% 63% 75% 74% 65% 22% 3f%6e% 65% 77% 28% 28% 22% 63% 61% 74% 20% 2f 65% 74% 63% 2f % 70% 61% 73% 73% 77% 64% 22% 29% 7Dجهاز كمبيوتر شخصي لـ CVE-2022-22954

• سيعرض طلب GET أعلاه محتويات الملف /etc/passwd من خادم ضعيف.
• سلسلة URL المشفرة المقدمة كمعامل لوسيطة DeviceUDID هي: $ {«فريماركر.تيمبلاتي.أوتيليتي.إكسيكت»؟ جديد () («cat /etc/passwd «)}

التأثير والتخفيف

التأثيرالتخفيف

• يمكن للمهاجمين استخدام هذا الاستغلال للحصول على وصول غير مصرح به والحصول على امتيازات أعلى لخوادم Microsoft Exchange.
• قد تؤدي هذه الثغرة الأمنية إلى هجوم RCE (تنفيذ التعليمات البرمجية عن بُعد).
• يمكن أن يؤدي RCE إلى هجمات مدمرة بما في ذلك على سبيل المثال لا الحصر حملات برامج الفدية.

• قم بتطبيق الأحدث الإصلاحات العاجلة الصادرة عن VMware للإصدار قيد الاستخدام.

المراجع

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• https://www.vmware.com/security/advisories/VMSA-2022-0011.html
• https://www.tenable.com/blog/vmware-patches-multiple-vulnerabilities-in-workspace-one-vmsa-2022-001
• https://blog.segu-info.com.ar/2022/04/vulnerabilidades-criticas-de-vmware.html

الملحق

[معرف التسمية التوضيحية = «المرفق _19187" align= «alignnone» width="1600"] قضية استغلال CVE-2022-22954 [/caption] [معرف التسمية التوضيحية = «المرفق _19188" align= «alignnone» width="580"] ممثل تهديد يناقش الثغرة الأمنية على قناة Telegram [/caption] [معرف التسمية التوضيحية = «المرفق _19189" align= «alignnone» width="1263"] ممثل تهديد ينشر عن الثغرة الأمنية في منتدى الجرائم الإلكترونية [/caption]