严重VMware认证绕过与远程代码执行漏洞分析:CVE-2022-31656和CVE-2022-31659

本文详细分析了VMware Workspace ONE Access中的两个关键漏洞CVE-2022-31656(认证绕过)和CVE-2022-31659(远程代码执行),包括技术细节、利用原理、影响组件及修复方案,帮助企业及时应对安全威胁。

严重VMware认证绕过与RCE漏洞:CVE-2022-31656和CVE-2022-31659

2022年8月10日 KS威胁研究安全公告

安全研究人员最近发布了概念验证(PoC)漏洞利用代码。VMware建议立即修补受影响系统。

执行摘要

2022年8月2日,VMware发布了一份公告(VMSA-2022-0021),涉及十个从中等严重到严重级别的漏洞,这些漏洞影响多个产品,可能被利用进行认证绕过、远程代码执行(RCE)、SQL注入和root权限提升攻击。

一周后的8月9日,VNG安全研究员Petrus Viet发布了一个概念验证(PoC),演示了通过网络访问易受攻击的用户界面成功利用认证绕过漏洞(CVE-2022-31656)。通过绕过认证,威胁行为者可以获得对敏感系统和环境的管理访问权限,并利用公开可用的恶意代码利用RCE漏洞(CVE-2022-31659)。VMware建议组织立即修补易受攻击的系统。

截至本文撰写时,尚未有关于CVE-2022-31656或CVE-2022-31659在野外被主动利用的报告。然而,网络融合中心(CFC)预计这些漏洞将在不久的将来被利用。因此,CFC强烈建议使用受影响VMware产品的组织尽快应用补丁或临时缓解措施。

请参阅以下部分,了解有关CVE-2022-31656和CVE-2022-31659的技术分析、修复和缓解步骤。

受影响组件

  • VMware® Workspace ONE Access
  • VMware® Identity Manager
  • VMware® vRealize Automation

技术细节

在CVE-2022-31656和CVE-2022-31659之前,类似的认证绕过漏洞影响了VMware Workspace ONE Access:CVE-2022-22972(于2022年5月披露)。此漏洞以及VMware安全公告VMSA-2022-0011中详细描述的其他CVE,在最近的Kudelski安全公告《高严重性VMware漏洞正在被主动利用》中有所涵盖。

VMware认证绕过漏洞CVE-2022-22972允许操纵LoginController(一个负责处理Web登录以及基本重定向的控制器)和认证适配器LocalPasswordAuthAdapter。通过在Host头中输入任意主机。为了解决这个问题,VMware开发人员实现了一个HostHeaderFilter,该过滤器应用于所有URL模式。这个新类旨在阻止所有主机头不直接指向服务器的请求,例如任意主机名。

CVE-2022-31656与CVE-2022-22972类似,因为它允许操纵另一个Java Web过滤器UrlRewriteFilter,该过滤器负责将请求映射到内部servlet。通过利用WEB-INF/urlrewrite.xml文件中的正则表达式,并构造特定请求以返回给定资源的RequestDispatcher和servletPath,可以访问WEB-INF/目录中的文件。

RequestDispatcher.forward允许将请求从一个servlet传递到另一个servlet。结合使用UrlRewriteFilter映射自定义回调请求,可以绕过最近实施的HostHeaderFilter,到达认证绕过所需的错误函数LocalPasswordAuthAdapter.login。

图1:认证绕过路径(CVE-2022-31656)。来源:The Greynoise Team。(2022)

以下图像说明了CVE-2022-31656认证绕过漏洞利用的发生方式,与Java Web应用程序中使用的典型过滤器链配置进行比较。

图2:CVE-2022-31656漏洞利用与典型过滤器链配置的比较。

成功绕过认证并利用CVE-2022-31656后,威胁行为者可以通过搜索受感染系统上的配置文件来定位包含TenatMigrationResource.migrateTenate函数的路径。在Viet发布的PoC中,这是通过首先定位形式为/SAAS/jersey/manager/api/**的API来完成的。

调用migrationInfo.getSourceDestiationInfo(),可以输入指定的目标主机名、用户名和密码。

图3:指定目标主机名、用户名和密码值的自定义输入。来源:Viet, P.(2022)

成功认证和授权源服务器和目标服务器后,威胁行为者可以通过以数组形式传递exec函数来执行OS命令注入。

解决方案

截至本文撰写时,尚未有关于CVE-2022-31656或CVE-2022-31659在野外被主动利用的报告。然而,强烈建议立即为CVE-2022-31656和CVE-2022-31659修补受影响系统,因为这两个漏洞代表了勒索软件、数据丢失/外泄等利用途径的重大组织风险。

VMware已发布受影响产品和组件的补丁。补丁以及常见问题解答和版本信息可以在VMware网站上找到: https://www.vmware.com/security/advisories/VMSA-2022-0021.html

临时缓解措施

如果紧急修补目前不可行,考虑禁用除单个配置的管理员之外的所有用户:

  1. 登录部署Workspace ONE Access数据库的Microsoft SQL Server。您可以使用SQL Server Management Studio或类似工具。
  2. 备份Workspace ONE Access数据库。
  3. 对Workspace ONE Access数据库运行提供的SQL查询。
  4. 运行View-Active-Admin-users.sql查看所有管理员(包括只读管理员),并运行View-Active-Local-users.sql查看所有将被禁用的本地用户。确保View-Active-Admin-users.sql显示至少1个配置的(通常来自目录)管理员。
  5. 运行Disable_All_Local_Users.sql禁用所有本地用户和管理员。
  6. 运行View-Active-Admin-users.sql查看哪些管理员现在保持活动状态。只有配置的(通常是目录用户)userType管理员应显示在此处。
  7. 使用ssh客户端以root用户身份登录Workspace ONE Access/VMware Identity Manager设备。使用命令“service horizon-workspace restart”重启服务。对环境中的所有设备重复此过程。
  8. 在应用热修复之前,不要创建任何新的本地用户。

有关如何操作或恢复缓解步骤的说明,请访问VMware知识库文章:https://kb.vmware.com/s/article/88433

来源

  • The Greynoise Team.(2022年8月9日)。VMware Workspace ONE漏洞CVE-2022-31656和CVE-2022-31659。GreyNoise博客。https://www.greynoise.io/blog/vmware-workspace-one-vulnerabilities-cve-2022-31656-and-cve-2022-31659
  • Gatlan, S.(2022年8月9日)。VMware警告存在关键认证绕过漏洞的公开利用。Bleeping Computer。https://www.bleepingcomputer.com/news/security/vmware-warns-of-public-exploit-for-critical-auth-bypass-vulnerability/
  • HW-156875 – 解决Workspace ONE Access设备(VMware Identity Manager)中CVE-2022-22972的变通说明(88433)。(2022年5月19日)。VMware Customer Connect。https://kb.vmware.com/s/article/88433
  • Macey, J. & Shah, S.(2022年5月27日)。理解CVE-2022-22972(VMware Workspace One Access认证绕过)。Assetnote。https://blog.assetnote.io/2022/05/27/understanding-cve-2022-22972-vmware-workspace-one-access/
  • Dodge, E. & Holland, T.(2022年5月20日)。高严重性VMware漏洞正在被主动利用。Kudelski Security。https://research.kudelskisecurity.com/2022/05/20/high-severity-vmware-vulnerabilities-under-active-exploitation%EF%BF%BC/
  • Tills, C.(2022年8月2日)。CVE-2022-31656:VMware修补多个产品中的多个漏洞(VMSA-2022-0021)。Tenable博客。https://www.tenable.com/blog/cve-2022-31656-vmware-patches-several-vulnerabilities-in-multiple-products-vmsa-2022-0021
  • Viet, P.(2022年8月9日)。在VMware Workspace ONE Access的架构上跳舞(ENG)。Medium。https://petrusviet.medium.com/dancing-on-the-architecture-of-vmware-workspace-one-access-eng-ad592ae1b6dd
  • VMSA-2022-0021。(2022年8月2日)。VMware。https://www.vmware.com/security/advisories/VMSA-2022-0021.html
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次