Scribd Logo
Unggah

Selamat datang di Scribd!

  • Peringatan Keamanan VMware CVE-2022-22954 - Sign

    Diunggah oleh

    Luna Anindya Herlina Putri
    9 tayangan5 halaman

    Judul Asli

    Peringatan Keamanan VMware CVE-2022-22954 _sign

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    9 tayangan5 halaman

    Peringatan Keamanan VMware CVE-2022-22954 - Sign

    Diunggah oleh

    Luna Anindya Herlina Putri

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 5

    a

    PERINGATAN KEAMANAN
    KERENTANAN REMOTE CODE EXECUTION PADAVMWARE
    WORKSPACE ONE ACCESS DAN VMWARE IDENTITY MANAGER:
    CVE-2022-22954

    Ringkasan Eksekutif
    1. Sebuah Proof-of-Concept tentang kerentanan Remote Code Execution telah dirilis
    secara online dan digunakan untuk serangan yang dapat menginfeksi server dengan
    penambangan koin.
    2. Kerentanan ini diidentifikasi sebagai CVE-2022-22954 dengan nilai CVSS v3.1 9.8
    (kategori CRITICAL) yang berdampak pada VMware Workspace ONE Access dan
    VMware Identity Manager.
    3. Mengingat dampak yang mungkin muncul dari eksploitasi kerentanan ini, diharapkan
    pengguna dari produk terdampak untuk segera melakukan tindakan-tindakan mitigasi
    yang dijelaskan pada peringatan keamanan ini.

    PENDAHULUAN
    Proof-of-Concept dari eksploitasi kerentanan Remote Code Execution (RCE) telah dirilis
    secara online dan digunakan untuk serangan yang dapat menginfeksi server dengan
    penambangan koin. Steven Seeley (mr_me) dari Qihoo 360 Vulnerability Research Institute
    telah melaporkan masalah keamanan pada produk VMware. Pada tanggal 6 April 2022,
    VMware merilis VMSA-2022-001, peringatan keamanan terkait kerentanan yang ditemukan
    di VMware Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle
    Manager, vRealize Automation, dan produk VMware Cloud Foundation. Pada tanggal 13
    April 2022 VMware kemudian melakukan update peringatan keamanan dengan skor
    tertinggi yang dieksploitasi secara aktif yaitu CVE-2022-22954 yang merupakan kerentanan
    server-side template injection dan menyebabkan terjadinya RCE. Diketahui kerentanan ini
    telah banyak dieksploitasi dan banyak disalahgunakan untuk menginfeksi server dengan
    penambang koin kripto. Kerentanan ini memiliki nilai kerentanan CVSS v3.1 9.8 sehingga
    dikategorikan sebagai kerentanan CRITICAL dengan kompleksitas serangan termasuk
    dalam kategori rendah mengingat mudahnya serangan dilakukan. VMware juga telah merilis
    pembaruan untuk produk yang terpengaruh dan petunjuk penyelesaian untuk mengatasi
    risiko penerapan.

    TLP : WHITE
    Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
    Halaman 1 dari 5
    NILAI KERENTANAN
    Berdasarkan CVSS v3.1, kerentanan ini memiliki nilai 9.8 yang dideskripsikan dengan CVE-
    2022-22954 dan dikategorikan sebagai CRITICAL.

    Gambar 1. Base Score untuk Kerentanan CVE-2022-22954


    Vector String (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

    PRODUK TERDAMPAK
    Produk yang terdampak dari kerentanan yang terdaftar sebagai CVE-2022-22954 adalah
    VMware Workspace ONE Access dan VMware Identity Manager, kedua produk tersebut
    merupakan produk VMware yang paling banyak digunakan.
    • VMware Workspace ONE Access versi 20.10.0.1
    • VMware Workspace ONE Access versi 20.10.0.1
    • VMware Workspace ONE Access versi 21.08.0.0
    • VMware Workspace ONE Access versi 21.08.0.1
    • VMware Identity Manager versi 3.3.3
    • VMware Identity Manager versi 3.3.4
    • VMware Identity Manager versi 3.3.5
    • VMware Identity Manager versi 3.3.6

    TLP : WHITE
    Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
    Halaman 2 dari 5
    DETAIL DAN DAMPAK KERENTANAN
    Kerentanan pada VMware Workspace ONE Access dan Identity Manager yaitu RCE yang
    diakibatkan server-side template injection karena kemampuannya untuk menjalankan
    perintah melalui remote server. Bad Packets menemukan adanya upaya eksploitasi
    kerentanan ini seperti yang ditunjukkan oleh Gambar 1. Pelaku ancaman telah
    mendiskusikan kerentanan ini di berbagai forum online, seperti Telegram, yang membahas
    mengenai metode pemanfaatan dampak chaining exploit, Shodan query, dan Proof-of-
    Concept (PoC) menggunakan intercept tools seperti BurpSuite. Beberapa PoC untuk
    mengeksploitasi kerentanan ini telah dipublikasikan melalui berbagai media, seperti Github
    dan Twitter, dan dapat digunakan untuk mereplikasi serangan terhadap sistem yang
    terpengaruh. Kode PoC menunjukkan bahwa CVE-2022-22954 dapat dieksploitasi dengan
    mengirimkan HTTP GET request yang dibuat khusus ke server rentan dan menghasilkan
    RCE di server seperti yang ditunjukkan oleh Gambar 2. Penyerang dapat menggunakan
    eksploitasi ini untuk mendapatkan hak istimewa yang lebih tinggi ke Microsoft Exchange
    Servers.

    Gambar 1. Upaya eksploitasi CVE-2022-22954 yang ditemukan Bad Packets.


    Sumber: Twitter @bad_packets

    TLP : WHITE
    Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
    Halaman 3 dari 5
    Gambar 2. Proof of Concept CVE-2022-22954 yang dipublikasikan oleh sherlocksecure
    melalui Github
    Sumber: Github sherlocksecurity

    PANDUAN MITIGASI
    Sampai dokumen ini dibuat, VMware telah melakukan verifikasi bahwasanya benar adanya
    kerentanan ini. Dikarenakan eksploitasi dari kerentanan ini sangat aktif dan untuk
    menghindari dampak luasan dari kerentanan, para pengguna produk terdampak dapat
    segera mengambil langkah-langkah mitigasi sebagai berikut:
    1. Melakuan pembaruan pada versi terbaru yang disarankan oleh VMware. Berikut adalah
    tautan dapat menjadi rujukan:
    https://www.vmware.com/security/advisories/VMSA-2022-0011.html
    2. Melakukan snapshot dan backup dari peralatan dan server basis data sebelum
    menerapkan pembaruan versi.

    TLP : WHITE
    Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
    Halaman 4 dari 5
    REFERENSI
    [1] “Critical RCE Vulnerability CVE-2022-22954 in VMware Workspace ONE Access and
    Identity Manager”, [Online]. Available: https://digital.nhs.uk/cyber-alerts/2022/cc-4072.
    [Diakses pada 15 April 2022]
    [2] “CVE-2022-22954”, [Online]. Available: https://cve.mitre.org/cgi-
    bin/cvename.cgi?name=CVE-2022-22954. [Diakses pada 14 April 2022]
    [3] “HW-154129 - Patch instructions to address CVE-2022-22954, CVE-2022-22955, CVE-
    2022-22956, CVE-2022-22957, CVE-2022-22958, CVE-2022-22959, CVE-2022-
    22960, CVE-2022-22961 in Workspace ONE Access Appliance (VMware Identity
    Manager) (88099)”, [Online]. Available: https://kb.vmware.com/s/article/88099.
    [Diakses pada 15 April 2022]
    [4] “Multiple VMware Products Found Vulnerable to Server-Side Template Injection CVE-
    2022-22954”, [Online]. Available: https://cloudsek.com/threatintelligence/multiple-
    vmware-products-found-vulnerable-to-server-side-template-injection-cve-2022-22954/.
    [Diakses pada 16 April 2022]
    [5] “POC for VMWARE CVE-2022-22954”, [Online]. Available:
    https://github.com/sherlocksecurity/VMware-CVE-2022-22954. [Diakses pada 15 April
    2022]
    [6] “Twitter - CVE-2022-22954 event detected”, [Online]. Available:
    https://twitter.com/bad_packets/status/1514293472697585669. [Diakses pada 15 April
    2022]
    [7] “VMSA-2022-0011”, [Online]. Available:
    https://www.vmware.com/security/advisories/VMSA-2022-0011.html. [Diakses pada
    14 April 2022]
    [8] “Vmware Workspace ONE Access/Identity Manager Template injection”, [Online].
    Available: https://vuldb.com/?id.196644. [Diakses pada 15 April 2022]

    TLP : WHITE
    Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
    Halaman 5 dari 5

    Anda mungkin juga menyukai