( 1 ) 취약점 정의
2022년 08월 09일 자에 VMware 사의 보안 권고문에 자사 제품의 다수 취약점이 게시됨.
그 중 CVE-2022-31656 취약점은 CVSSv3 점수가 9.8 점으로 심각한 취약점이며 현재 PoC 코드가 공개됨.
CVE-2022-31656 취약점은 VMware Workspace ONE Access, Identity Manager 및 vRealize Automation 제품 UI 에 네트워크 액세스 권한이 있는 악의적인 공격자가 인증 없이 관리 액세스 권한을 얻을 수 있는 취약점임.
취약한 버전은 아래와 같음.
- VMware Workspace ONE Access 21.08.0.0
- VMware Workspace ONE Access 21.08.0.1
- VMware Workspace ONE Access Connector 22.05
- VMware Workspace ONE Access Connector 21.08.0.0
- VMware Workspace ONE Access Connector 21.08.0.1
- VMware Identity Manager 3.3.4 ~ 3.3.6
- VMware Identity Manager Connector 3.3.4 ~ 3.3.6
- VMware Identity Manager Connector 19.03.0.1
- VMware vRealize Automation 8.x
- VMware vRealize Automation 7.6
- VMware Cloud Foundation (vIDM) 4.2.x, 4.3.x, 4.4.x
- VMware Cloud Foundation (vRA) 3.x
- vRealize Suite Lifecycle Manager (vIDM) 8.x
( 2 ) 취약점 분석
VMware 제품의 Java 웹에는 많은 필터 계층이 있으며 그중 UrlRewriteFilter 계층은 사전 정의된 규칙을 기반으로 일부 내부 서블릿에 요청을 매핑하는 역할을 함. (WEB-INF/urlrewrite.xml 파일 참조)
UrlRewriteFilter 필터 클래스를 디버깅 할 경우 요청에서 "^/t/([^/])($|/)(((?!META-INF| WEB-INF).))$" 정규식이 포함된 경로가 "/$3" 에 매핑됨.
이는 공격자가 2개의 폴더(WEB-INF, META-INF 폴더)에 있는 파일을 읽을 수 있도록 하는 기존 취약점 CVE-2021-26085 와 CVE-2021-26086 취약점과 매우 유사함.
< UrlRewriteFilter 필터 클래스를 디버깅 할 경우 요청 부분 >
위 정규식과 일치하는 요청을 사용하여 WEB-INF 폴더의 파일에 액세스할 수 있음.
그래서 "/SAAS/t/_/;/WEB-INF/web.xml" 와 같이 요청하면 /WEB-INF/web.xml 파일에 매핑됨.
이를 응용하여 인증 우회하기 위해서는 /auth/login/embeddedauthbroker/callback 파일에 매핑하면 됨.
현재 PoC 에 공개된 인증 우회한 화면은 아래와 같음.
< 인증 우회하기 위한 PoC 화면 >
( 3 ) 취약점 방어
1. 최신 버전으로 업그레이드함.
아래 링크에서 위 취약한 버전과 관련된 패치 파일을 다운로드하여 설치함.
패치 파일 다운로드 링크 :
https://kb.vmware.com/s/article/89096
2. 보안장비에 Snort 패턴을 등록하여 모니터링 및 대응함.
현재 공개된 PoC 를 토대로 URL 에 "/SAAS/t/_/;/" 문자열이 포함된 경우 탐지하는 패턴을 등록함.
alert tcp any any -> any any (msg:"KOROMOON_VMware_Auth Bypass_Detected"; content:"POST /SAAS/t/_/;/"; depth:17;)
참고 사이트 :
https://www.vmware.com/security/advisories/VMSA-2022-0021.html
https://kb.vmware.com/s/article/89096
댓글 없음:
댓글 쓰기