VMWARE WORKSPACE ONE ACCESS & IDENTITY MANAGER 원격 코드 실행 취약점

 

VMWare의 Workspace ONE Access, VMware Identity Manager(vIDM), vRealize Lifecycle Manager, vRealize Automation 및 VMware Cloud Foundation 제품에는 서버 측 템플릿 주입으로 인한 원격 코드 실행 취약점이 보고되었습니다.

 

인증되지 않은 원격 공격자는 이 취약점을 이용하여 서버에 조작된 요청을 전송할 수 있습니다. 템플릿 주입에 성공하면 공격에 의해 원격 코드 실행(RCE)이 발생하여 데이터 공개, 추가 또는 변경 및 서비스 거부 상태가 발생할 수 있습니다.

 

취약점의 식별자는 CVE-2022-22954이며 CVSS(v3) 9.8점으로 평가되었습니다.

 

기술 개요:

SSTI(Server-side Template Injection) 공격은 사용자 입력이 데이터로 전달되지 않고 템플릿에 직접 연결될 때마다 발생할 수 있습니다. 또한, 공격자는 임의의 템플릿을 삽입하여 템플릿 엔진을 조작할 수 있습니다.

공격자는 명령 및 리버스 셸 페이로드를 실행하여 원격 코드를 실행할 수 있으며, 완전한 서버 제어가 가능합니다.

 

"deviceUdid" 인수에 파라미터로 지정된 URL 인코딩 문자열은 다음과 같습니다.

 

 

문제의 트리거:

•      대상이 취약한 버전의 소프트웨어를 실행하고 있어야 합니다.
•      공격자는 취약한 서버에 대한 네트워크 접속이 필요합니다.
•      타깃은 공격자가 제어하는 서버에 대한 네트워크 접속이 필요합니다.

 

트리거 조건:

악의적으로 조작된 요청을 사용하는 대상이 아래 요청을 수신한 후 취약점이 트리거 됩니다.

 

취약한 버전:

•      VMware Workspace ONE 액세스 어플라이언스 - 21.08.0.1, 21.08.0.0, 20.10.0.1, 20.10.0.0
•      VMware Identity Manager 어플라이언스 - 3.3.6, 3.3.5, 3.3.4, 3.3

 

공격 전달:

다음 응용 프로그램 프로토콜을 사용하여 이 취약점을 악용하는 공격을 전달할 수 있습니다.

 

•      HTTP
•      SSL/TLS

클라이언트 GET 요청은 다음과 같습니다.

 

 

해결방안:

이 취약점으로 인한 위험은 다음을 통해 완화하거나 제거할 수 있습니다.

•      이 취약점을 제거하는 VMWare 제공 패치를 적용합니다.

VMWare는 이 취약성과 관련하여 릴리스한 권고 사항은 아래의 링크를 참고하시기 바랍니다.

VMWare 권고사항