Vulnérabilités critiques dans VMware

Date de publication :

Plusieurs vulnérabilités critiques ont été découvertes dans les logiciels : VMware Workspace ONE Access, Identity Manager et vRealize Automation.

L’injection de modèles côté serveur est une utilisation non sécurisée de templates potentiellement compromis, destinés à l'affichage de données dynamiques dans une page HTML.

Une URI JDBC est une connexion URL conçue pour initialiser la connexion à une base de données.

 

CVE-2022-22954[Score CVSS v3.1 : 9.8]

Un défaut de sécurisation de l’injection de modèles côté serveur dans les suites VMware Workspace ONE Access et Identity Manager permet à un attaquant d’exécuter du code arbitraire à distance.

CVE-2022-22955[Score CVSS v3.1 : 9.8]

L’exposition des points de terminaison dans le framework OAuth2 ACS de la suite VMware Workspace ONE Access permet à un attaquant de contourner l’étape d’authentification.

CVE-2022-22956[Score CVSS v3.1 : 9.8]

L’exposition des points de terminaison dans le framework OAuth2 ACS de la suite VMware Workspace ONE Access permet à un attaquant de contourner l’étape d’authentification.

CVE-2022-22957[Score CVSS v3.1 : 7.2]

Une erreur de désérialisation de données non approuvées dans VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant disposant de droits administrateur d’envoyer une requête forgée de type URI JDBC, afin d’exécuter du code à distance.

CVE-2022-22958[Score CVSS v3.1 : 7.2]

Une erreur de désérialisation de données non approuvées dans VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant disposant de droits administrateur d’envoyer une requête forgée de type URI JDBC, afin d’exécuter du code à distance.

CVE-2022-22959[Score CVSS v3.1 : 4.3]

Un contrôle insuffisant des requêtes entrantes fournies par l’utilisateur permet à un attaquant distant, par le biais d’une requête forgée de type URI JDBC, d’effectuer des attaques de script intersite (XSS).

CVE-2022-22960[Score CVSS v3.1 : 7.8]

Une erreur d’autorisation dans les scripts de support de VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant authentifié d’élever ses privilèges.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Élévation de privilèges

    Exécution de code arbitraire (à distance)

    Contournement de la politique de sécurité (à distance)

    Injection de code indirecte (à distance) (XSS)

Criticité

    Score CVSS v3.1: 9.8 max

La faille est activement exploitée

    Oui, pour la CVE-2022-22960 et la CVE-2022-22954

Un correctif existe

    Oui pour l’ensemble des vulnérabilités

Une mesure de contournement existe

    Oui pour l’ensemble des vulnérabilités

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-22954

Pour les CVE-2022-22955 et CVE-2022-22956

Pour les CVE-2022-22957 et CVE-2022-22958

Pour la CVE-2022-22959

Pour la CVE-2022-22960

Détails sur l’exploitation

Pour les CVE-2022-22954, CVE-2022-22955 et CVE-2022-22956

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

 

Pour les CVE-2022-22957 et CVE-2022-22958

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : authentification compte administrateur.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

 

Pour la CVE-2022-22959

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

 

Pour la CVE-2022-22960

    Vecteur d’attaque : Local.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

    VMware Workspace ONE Access (Access) en versions 20.10.0.1 et 20.10.0.0

    VMware Identity Manager (vIDM) en version 7.6

    VMware vRealize Automation (vRA) en version 7.6

    VMware Cloud Foundation en versions 3.x, 4.x et 8.x

    vRealize Suite Lifecycle Manage en version 8.x

Solutions ou recommandations

  • Installer les correctifs conformément aux instructions de Vmware disponibles ici.
     
  • Concernant les mesures de contournement, des informations complémentaires sont disponibles ici.

Liens