Суть уязвимости

Уязвимость (CVE-2022-22954) — это инъекция шаблонов на стороне сервера (SSTI) в компонентах VMware Workspace ONE Access и Identity Manager. Злоумышленник может отправить специально сформированный HTTP-запрос к уязвимому серверу, что позволит выполнить произвольный код на системе с правами пользователя, под которым работает приложение.

Как исправить

Необходимо обновить VMware Workspace ONE Access и/или VMware Identity Manager до версий, содержащих исправление.

Конкретные патчи: * VMware Workspace ONE Access: версии 21.08.0.1, 20.10.0.1 или 21.10.0.0 и выше. * VMware Identity Manager (vIDM): версии 3.3.6, 3.3.5.1 или 3.3.4.2 и выше.

Процесс обновления: 1. Скачайте соответствующий патч с портала VMware Customer Connect. 2. Остановите сервисы приложения. 3. Создайте полную резервную копию (ВМ, снимок состояния (snapshot) и базы данных). 4. Установите обновление, следуя официальной инструкции VMware. 5. Перезапустите сервисы и проверьте работоспособность.

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

1. Изоляция сети:

   • Ограничьте доступ к административным интерфейсам и портам приложения (например, 443/TCP) только доверенным IP-адресам с помощью брандмауэра. ```bash

   Пример для iptables (разрешить только сеть 10.0.1.0/24)

   iptables -A INPUT -p tcp --dport 443 -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

2. Настройка WAF (Web Application Firewall):

   • Активируйте правила для блокировки атак типа "Server-Side Template Injection" (SSTI).
   • Настройте правила на блокировку HTTP-запросов, содержащих в теле или параметрах шаблонные выражения (например, ${, ${{, <%=, *{).

3. Мониторинг и ответ:

   • Включите детальное логирование веб-запросов к приложению.
   • Настройте SIEM-систему на оповещения о подозрительных шаблонных конструкциях в URL или теле запроса.