Alertas

Prueba de concepto RCE para VMWare Workspace ONE (CVE-2022-22954)

Los actores de amenazas avanzadas están explotando actualmente una vulnerabilidad crítica de ejecución remota de código (RCE) debido a una inyección de plantillas del lado del servidor, rastreada como CVE-2022-22954, en VMware Workspace ONE Access and Identity Manager. La vulnerabilidad se solucionó el 6 de abril de 2022 y se publicó un parche, aunque se ha publicado un código de explotación de prueba de concepto (PoC) que permite a los atacantes atacar los sistemas vulnerables.
29 Apr 2022
1 Minutos de lectura

ANÁLISIS

CVE-2022-22954 es una inyección de plantillas en el lado del servidor y afecta a un componente de Apache Tomcat, que permite la ejecución de comandos maliciosos en el servidor de alojamiento. Hay pruebas de que se ejecutan comandos PowerShell como procesos hijos de la aplicación del proceso "prunsr.exe" de Tomcat. Si un atacante tiene éxito y consigue el acceso, puede lograr la ejecución completa de código remoto contra la gestión de acceso a la identidad de VMware.  

Con esta nueva vulnerabilidad, los atacantes pueden desplegar ransomware o mineros de monedas para el acceso inicial, el movimiento lateral o la escalada de privilegios. También se observaron actores de amenazas que lanzaban HTTPS inversos, como Metasploit y Cobalt Strike. Si el atacante tiene acceso privilegiado, puede eludir las defensas, incluyendo el antivirus y la detección y respuesta de puntos finales.  

La vulnerabilidad ha recibido una puntuación CVSSv3 de 9,8.

Versiones afectadas:  

VMware Workspace ONE Access Appliance  

  • 21.08.01
  • 21.08.0.0 
  • 20.10.0.1 
  • 20.10.0.0 

 
Dispositivo VMware Identity Manager  

  • 3.3.6 
  • 3.3.5
  • 3.3.4
  • 3.3.3 

RECOMENDACIONES

Los usuarios deben aplicar las actualizaciones o parches vigentes.

 
REFERENCIAS

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/
https://www.avertium.com/blog/rce-vulnerability-vmware-workspace-one
https://www.vmware.com/security/advisories/VMSA-2022-0011.html

726 visitas