El 6 de abril, VMware publicó un aviso (VMSA-2022-0011) que aborda ocho vulnerabilidades en varios productos de VMware: las ocho vulnerabilidades fueron reveladas a VMware por Steven Seeley, un investigador de seguridad del Qihoo 360 Vulnerability Research Institute.

La más grave de ellas es la CVE-2022-22954, una vulnerabilidad de inyección de plantilla del lado del servidor en VMware Workspace ONE Access and Identity Manager. A esta vulnerabilidad se le asignó una puntuación CVSSv3 de 9,8. Un atacante no autenticado con acceso a la red podría aprovechar esta vulnerabilidad enviando una solicitud especialmente diseñada a un VMware Workspace ONE o Identity Manager vulnerable. La explotación exitosa podría resultar en la ejecución remota de código al explotar una falla de inyección de plantilla del lado del servidor.

"Esta vulnerabilidad crítica debe repararse o mitigarse de inmediato", dijo VMware en su alerta. "Las ramificaciones de esta vulnerabilidad son graves".

CVE-2022-22955 y CVE-2022-22956 son un par de vulnerabilidades de omisión de autenticación en el marco de servicios de control de acceso (ACS) de OAuth 2.0 dentro de VMware Workspace ONE. A ambas vulnerabilidades se les asignó una puntuación CVSSv3 de 9,8. Un atacante no autenticado podría enviar solicitudes especialmente diseñadas a puntos finales de OAuth2.0 vulnerables y expuestos en VMware Workspace ONE para autenticarse correctamente en la instancia de Workspace ONE.

• CVE-2022-22954 (CVSS score: 9.8) - Server-side template injection remote code execution vulnerability affecting VMware Workspace ONE Access and Identity Manager
• CVE-2022-22955 & CVE-2022-22956 (CVSS scores: 9.8) - OAuth2 ACS authentication bypass vulnerabilities in VMware Workspace ONE Access
• CVE-2022-22957 & CVE-2022-22958 (CVSS scores: 9.1) - JDBC injection remote code execution vulnerabilities in VMware Workspace ONE Access, Identity Manager, and vRealize Automation
• CVE-2022-22959 (CVSS score: 8.8) - Cross-site request forgery (CSRF) vulnerability in VMware Workspace ONE Access, Identity Manager, and vRealize Automation
• CVE-2022-22960 (CVSS score: 7.8) - Local privilege escalation vulnerability in VMware Workspace ONE Access, Identity Manager and vRealize Automation, and
• CVE-2022-22961 (CVSS score: 5.3) - Information disclosure vulnerability impacting VMware Workspace ONE Access, Identity Manager and vRealize Automation

Estas tres vulnerabilidades son las únicas parcheadas en este aviso que no requieren autenticación antes de la explotación. Los cinco restantes lo hacen y, como tales, se les han asignado puntajes CVSSv3 más bajos.

En diciembre de 2020, la NSA reveló que los actores de amenazas patrocinados por el estado ruso habían explotado CVE-2020-4006, una falla de inyección de comandos en el componente del configurador administrativo en varios productos de VMware, incluidos Workspace ONE Access, Identity Manager, Cloud Foundation y vRealize.

En este momento, ya se han compartido exploits de prueba de concepto para las primera de las vulnerabilidades.

Si bien estas vulnerabilidades en VMSA-2022-0011 se abordaron como parte de una divulgación coordinada, los atacantes suelen atacar las vulnerabilidades heredadas, por lo que se recomienda actualizar a la brevedad.

Fuente: Tenable