Prueba de concepto RCE para VMWare Workspace ONE (CVE-2022-22954)

ANÁLISIS

CVE-2022-22954 es una inyección de plantillas en el lado del servidor y afecta a un componente de Apache Tomcat, que permite la ejecución de comandos maliciosos en el servidor de alojamiento. Hay pruebas de que se ejecutan comandos PowerShell como procesos hijos de la aplicación del proceso "prunsr.exe" de Tomcat. Si un atacante tiene éxito y consigue el acceso, puede lograr la ejecución completa de código remoto contra la gestión de acceso a la identidad de VMware.  

Con esta nueva vulnerabilidad, los atacantes pueden desplegar ransomware o mineros de monedas para el acceso inicial, el movimiento lateral o la escalada de privilegios. También se observaron actores de amenazas que lanzaban HTTPS inversos, como Metasploit y Cobalt Strike. Si el atacante tiene acceso privilegiado, puede eludir las defensas, incluyendo el antivirus y la detección y respuesta de puntos finales.  

La vulnerabilidad ha recibido una puntuación CVSSv3 de 9,8.

Versiones afectadas:  

VMware Workspace ONE Access Appliance  

• 21.08.01
• 21.08.0.0 
• 20.10.0.1 
• 20.10.0.0 

 
Dispositivo VMware Identity Manager  

• 3.3.6 
• 3.3.5
• 3.3.4
• 3.3.3 

RECOMENDACIONES

Los usuarios deben aplicar las actualizaciones o parches vigentes.

REFERENCIAS

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/
https://www.avertium.com/blog/rce-vulnerability-vmware-workspace-one
https://www.vmware.com/security/advisories/VMSA-2022-0011.html