Con il bollettino di sicurezza VMSA-2022-0011 del 2022-04-06, VMWare ha focalizzato l’attenzione su alcune gravi vulnerabilità che affliggono alcuni suoi prodotti. In particolare si tratta di VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager.
Ad una settimana di distanza da quel bollettino sono state pubblicate le attese correzioni (KB88099), ponendo sostanzialmente un freno a un fenomeno che stava diventando oggettivamente rischioso, viste le prime conferme sull’avvistamento “in natura” di exploit per una delle vulnerabilità descritte nel bollettino, la CVE-2022-22954, nonché un ampio fiorire su GitHub (https://github.com/search?q=CVE-2022-22954) di PoC per lo sfruttamento della stessa.
L’insieme di questa vulnerabilità e le successive CVE-2022-22955 e CVE-2022-22956 rappresentano infatti il difetto più rischioso rilevato, in quanto non richiedono autenticazione per eseguire lo sfruttamento. Vediamo di che si tratta.
La CVE-2022-22954 (Server-side Template Injection Remote Code Execution Vulnerability, CVSS 9.8) è una vulnerabilità che affligge VMware Workspace ONE Access e Identity Manager. È una vulnerabilità di tipo RCE conseguente all'iniezione nel motore dei modelli che costituisce l’interfaccia dell’applicazione. Un utente malintenzionato non autenticato, con un payload creato ad arte, potrebbe sfruttare questa vulnerabilità tramite una semplice GET su una qualche URI con un input debolmente protetto.
Le vulnerabilità CVE-2022-22955 e CVE-2022-22956 (OAuth2 ACS Authentication Bypass Vulnerability, CVSS 9.8) affligge VMware Workspace ONE Access. Si tratta in entrambi i casi di bypass dell'autenticazione nel framework OAuth 2.0 Access Control Services (ACS) all’interno del prodotto. Un attore malintenzionato può ignorare il meccanismo di autenticazione ed eseguire qualsiasi operazione a causa di endpoint esposti nel framework di autenticazione.
Le vulnerabilità CVE-2022-22957 e CVE-2022-22958 (JDBC Injection Remote Code Execution Vulnerability, CVSS 9.1) affliggono VMware Workspace ONE Access, Identity Manager e vRealize Automation. Si tratta anche in questo caso di RCE possibile ad un attore malintenzionato che abbia un accesso amministrativo: può attivare la deserializzazione dei dati non attendibili tramite URI JDBC dannoso, e così portare all'esecuzione di codice.
La vulnerabilità CVE-2022-22959 (Cross Site Request Forgery Vulnerability, CVSS 8.8) affligge VMware Workspace ONE Access, Identity Manager e vRealize Automation. Un attore malintenzionato può indurre gli utenti a eseguire azioni che non intendono eseguire: falsificare una richiesta su più siti per convalidare involontariamente un URI JDBC dannoso.
Anche la vulnerabilità CVE-2022-22960 (Local Privilege Escalation Vulnerability, CVSS 7.8) affligge VMware Workspace ONE Access, Identity Manager e vRealize Automation: si tratta di una vulnerabilità EoP (elevazione del privilegio) possibile a causa di autorizzazioni improprie negli script di supporto. Un attore malintenzionato con accesso locale può ottenere i privilegi di "root". Non dimentichiamo mai che le minacce non vengono solo da Internet.
L’ultima vulnerabilità, la CVE-2022-22961 (Information Disclosure Vulnerability, CVSS 5.3), apparentemente meno grave, consente invero all’attaccante di essere agevolato nella fase di recon. Si tratta infatti di un problema di eccessiva divulgazione di informazioni, in particolare il nome dell’host dei target system dell’Identity Manager. La conoscenza è la prima arma.