VMware Workspace ONE Access(以前称为VMware Identity Manager)旨在通过多因素身份验证、条件访问和单点登录,让您的员工更快地访问SaaS、Web和本机移动应用程序。
近日VMware官网发布了VMware Workspace ONE Access存在多个漏洞:
受影响版本如下:
-
VMware Workspace ONE Access Appliance (版本号:20.10.0.0 ,20.10.0.1 ,21.08.0.0 ,21.08.0.1 )
-
VMware Identity Manager Appliance (版本号:3.3.3 , 3.3.4 , 3.3.5 ,3.3.6)
-
VMware Realize Automation (版本号:7.6)
其中的CVE-2022-22954是一个匿名服务器模板注入漏洞,未经身份验证的攻击者可以利用此漏洞进行远程任意代码执行。
下载存在漏洞的VMware Workspace ONE Access OVA文件,利用ESXI完成安装,需要注意的是主机名需要设置为域名,否则在配置数据库的过程中将会报错。最终完成配置后启动成功:
通过证书免密登录和挂载修改`shadow`文件的方式可以拿到底层ROOT权限,启动脚本位于`/opt/vmware/horizon/workspace/bin`,`init.d.sh`文件用于控制启动状态,`setenv.sh`可以配置远程调试:
重启服务后将开启远程调试。
从补丁分析入手。漏洞爆出后,官方给出了一个修复脚本`HW-154129-applyWorkaround.py`:
既然是模板渲染漏洞,那么我们首先关注对模板的修改。脚本删除了`endusercatalog-ui-1.0-SNAPSHOT-classes.jar`中自带的模板`customError.ftl`:
在`customError.ftl`模板中调用了freemarker引擎的`eval`函数来渲染`errObj`:
查看freemarker官方文档:
可以判断`customError.ftl`在模板渲染过程中导致出现了漏洞。
找到渲染`customError.ftl`模板的相关代码位于`com.vmware.endusercatalog.ui.web.UiErrorController#handleGenericError`:
搜索调用关系:
继续寻找`/ui/view/error`的调用,因为这是一个API接口,所以直接构造URL请求当然可以达到,但是这样无法从请求中提取`javax.servlet.error.message`,导致目标渲染的内容不可控。通过搜索找到另一处调用位于`UiApplicationExceptionResolver#resolveException`:
存在`javax.servlet.error.message`赋值过程。继续搜索`resolveException`调用:
如下图所示,`handleHttpMediaTypeNotAcceptableException`和`handleAnyGenericException`对应的都是全局异常的处理过程:
显然`handleAnyGenericException`适配的异常更加通用。`UiApplicationExceptionResolver`类限定了全局异常处理适用的类型范围为`UIController`、`HubUIController`和`WorkspaceOauth2CodeVerificationController`:
分析到这里之后,经过不断尝试,但是一直也没有实现对变量`errObj`的完全控制。在深入分析其中的一些基础性定义之后,最终找到一个完美实现内容可控的利用方式。获取的`errorObj`变量如下:
最终通过freemarker模板渲染实现RCE:
由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全团队及文章作者不为此承担任何责任。
点关注,不迷路!
原文始发于微信公众号(且听安全):【最新漏洞预警】CVE-2022-22954 VMware Workspace ONE Access SSTI漏洞
