Alertas

Prueba de concepto RCE para VMWare Workspace ONE (CVE-2022-22954)

Los actores de amenazas avanzadas están explotando actualmente una vulnerabilidad crítica de ejecución remota de código (RCE) debido a una inyección de plantillas del lado del servidor, rastreada como CVE-2022-22954, en VMware Workspace ONE Access and Identity Manager. La vulnerabilidad se solucionó el 6 de abril de 2022 y se publicó un parche, aunque se ha publicado un código de explotación de prueba de concepto (PoC) que permite a los atacantes atacar los sistemas vulnerables.

29 Apr 2022

ANÁLISIS

CVE-2022-22954 es una inyección de plantillas en el lado del servidor y afecta a un componente de Apache Tomcat, que permite la ejecución de comandos maliciosos en el servidor de alojamiento. Hay pruebas de que se ejecutan comandos PowerShell como procesos hijos de la aplicación del proceso "prunsr.exe" de Tomcat. Si un atacante tiene éxito y consigue el acceso, puede lograr la ejecución completa de código remoto contra la gestión de acceso a la identidad de VMware.

Con esta nueva vulnerabilidad, los atacantes pueden desplegar ransomware o mineros de monedas para el acceso inicial, el movimiento lateral o la escalada de privilegios. También se observaron actores de amenazas que lanzaban HTTPS inversos, como Metasploit y Cobalt Strike. Si el atacante tiene acceso privilegiado, puede eludir las defensas, incluyendo el antivirus y la detección y respuesta de puntos finales.

La vulnerabilidad ha recibido una puntuación CVSSv3 de 9,8.

Versiones afectadas:

VMware Workspace ONE Access Appliance

21.08.01
21.08.0.0
20.10.0.1
20.10.0.0

Dispositivo VMware Identity Manager

3.3.6
3.3.5
3.3.4
3.3.3

RECOMENDACIONES

Los usuarios deben aplicar las actualizaciones o parches vigentes.

REFERENCIAS

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/
https://www.avertium.com/blog/rce-vulnerability-vmware-workspace-one
https://www.vmware.com/security/advisories/VMSA-2022-0011.html

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.

Prueba de concepto RCE para VMWare Workspace ONE (CVE-2022-22954)

ANÁLISIS

RECOMENDACIONES

REFERENCIAS

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día