Vulnérabilités critiques dans VMware

Date de publication :

Plusieurs vulnérabilités critiques ont été découvertes dans les logiciels : VMware Workspace ONE Access, Identity Manager et vRealize Automation.

L’injection de modèles côté serveur est une utilisation non sécurisée de templates potentiellement compromis, destinés à l'affichage de données dynamiques dans une page HTML.

Une URI JDBC est une connexion URL conçue pour initialiser la connexion à une base de données.
 

CVE-2022-22954[Score CVSS v3.1 : 9.8]
Un défaut de sécurisation de l’injection de modèles côté serveur dans les suites VMware Workspace ONE Access et Identity Manager permet à un attaquant d’exécuter du code arbitraire à distance.

CVE-2022-22955[Score CVSS v3.1 : 9.8]
L’exposition des points de terminaison dans le framework OAuth2 ACS de la suite VMware Workspace ONE Access permet à un attaquant de contourner l’étape d’authentification.

CVE-2022-22956[Score CVSS v3.1 : 9.8]
L’exposition des points de terminaison dans le framework OAuth2 ACS de la suite VMware Workspace ONE Access permet à un attaquant de contourner l’étape d’authentification.

CVE-2022-22957[Score CVSS v3.1 : 7.2]
Une erreur de désérialisation de données non approuvées dans VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant disposant de droits administrateur d’envoyer une requête forgée de type URI JDBC, afin d’exécuter du code à distance.

CVE-2022-22958[Score CVSS v3.1 : 7.2]
Une erreur de désérialisation de données non approuvées dans VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant disposant de droits administrateur d’envoyer une requête forgée de type URI JDBC, afin d’exécuter du code à distance.

CVE-2022-22959[Score CVSS v3.1 : 4.3]
Un contrôle insuffisant des requêtes entrantes fournies par l’utilisateur permet à un attaquant distant, par le biais d’une requête forgée de type URI JDBC, d’effectuer des attaques de script intersite (XSS).

CVE-2022-22960[Score CVSS v3.1 : 7.8]
Une erreur d’autorisation dans les scripts de support de VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant authentifié d’élever ses privilèges.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Élévation de privilèges
  • Exécution de code arbitraire (à distance)
  • Contournement de la politique de sécurité (à distance)
  • Injection de code indirecte (à distance) (XSS)

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

  • Oui, pour la CVE-2022-22960 et la CVE-2022-22954

Un correctif existe

  • Oui pour l’ensemble des vulnérabilités

Une mesure de contournement existe

  • Oui pour l’ensemble des vulnérabilités

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-22954

Pour les CVE-2022-22955 et CVE-2022-22956

Pour les CVE-2022-22957 et CVE-2022-22958

Pour la CVE-2022-22959

Pour la CVE-2022-22960

Détails sur l’exploitation

Pour les CVE-2022-22954, CVE-2022-22955 et CVE-2022-22956

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

 

Pour les CVE-2022-22957 et CVE-2022-22958

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : authentification compte administrateur.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

 

Pour la CVE-2022-22959

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

 

Pour la CVE-2022-22960

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

  • VMware Workspace ONE Access (Access) en versions 20.10.0.1 et 20.10.0.0
  • VMware Identity Manager (vIDM) en version 7.6
  • VMware vRealize Automation (vRA) en version 7.6
  • VMware Cloud Foundation en versions 3.x, 4.x et 8.x
  • vRealize Suite Lifecycle Manage en version 8.x

Solutions ou recommandations

  • Installer les correctifs conformément aux instructions de Vmware disponibles ici.
     
  • Concernant les mesures de contournement, des informations complémentaires sont disponibles ici.

Liens