# CVE-2021-22054 - SSRF Crítico no VMware Workspace ONE UEM > [!danger] CVSS 9.1 - Server-Side Request Forgery sem autenticação > Falha SSRF no console do **VMware Workspace ONE UEM** permite acesso não autenticado a recursos internos da rede. CISA KEV confirmado. Impacto crítico em ambientes corporativos com MDM exposto. ## Visão Geral **CVE-2021-22054** é uma vulnerabilidade crítica de **Server-Side Request Forgery (SSRF)** no console administrativo do VMware Workspace ONE UEM (Unified Endpoint Management), uma das principais plataformas de gerenciamento de dispositivos móveis e endpoints (MDM/EMM) empresariais. A falha permite que um atacante não autenticado com acesso à rede envie requisições arbitrárias do servidor UEM para recursos internos da infraestrutura, incluindo sistemas que normalmente não seriam acessíveis externamente. O Workspace ONE UEM é amplamente utilizado por empresas e órgãos governamentais para gerenciar dispositivos corporativos - celulares, laptops, tablets e workstations. A posição central desta plataforma na infraestrutura de TI corporativa torna a exploração particularmente grave: um atacante pode usar o SSRF para mapear a rede interna, acessar endpoints de APIs internas, exfiltrar tokens de autenticação e potencialmente pivotar para outros sistemas. A falha foi divulgada junto com outras CVEs críticas do Workspace ONE em dezembro de 2021, e sua inclusão no catálogo **CISA KEV** em janeiro de 2022 confirmou exploração ativa em ambientes reais. Esta vulnerabilidade é técnicamente similar a outras SSRF críticas exploradas por atores estatais e grupos de ransomware para comprometer infraestruturas empresariais antes de realizar movimentação lateral. O impacto potencial inclui desde reconhecimento interno até acesso a sistemas de back-end sem autenticação adicional. ## Detalhes Técnicos A vulnerabilidade reside em um endpoint do console do Workspace ONE UEM que processa URLs fornecidas pelo usuário sem válidação adequada. O servidor faz a requisição em nome do cliente, retornando o conteúdo para o atacante. O mecanismo de exploração: 1. **Identificação do endpoint vulnerável:** o atacante identifica o endpoint do console UEM que aceita URLs como parâmetro 2. **Envio de requisição SSRF:** requisição HTTP é enviada com URL apontando para recurso interno (ex: `http://169.254.169.254/` para metadata de cloud, ou `http://internal-api/`) 3. **O servidor faz a requisição:** o UEM realiza a requisição HTTP para o recurso específicado 4. **Retorno de dados internos:** a resposta do recurso interno é retornada ao atacante **Impacto potencial da cadeia de exploração:** - Acesso à API de metadados de cloud (AWS IMDSv1, Azure IMDS) - roubo de credenciais IAM - Acesso a serviços internos não expostos (Redis, Elasticsearch, APIs internas) - Leitura de arquivos de configuração locais via `file://` (dependendo da implementação) - Mapeamento de rede interna e identificação de outros sistemas vulneráveis ## Produtos Afetados | Vendor | Produto | Branch | Versão Afetada | Versão Corrigida | |--------|---------|--------|----------------|------------------| | VMware | Workspace ONE UEM | 21.x | < 21.11 | 21.11+ | | VMware | Workspace ONE UEM | 20.x | < 20.11.0.3 | 20.11.0.3+ | | VMware | Workspace ONE UEM | 20.x (outros) | Verificar advisory | Ver VMSA-2021-0028 | | VMware | Workspace ONE UEM | 21.x (outros) | Verificar advisory | Ver VMSA-2021-0028 | **Não afetados:** Workspace ONE Access (produto separado), Horizon, vSphere. ## Mitigação **Patch oficial:** - Advisory: [VMSA-2021-0028](https://www.vmware.com/security/advisories/VMSA-2021-0028.html) - Atualizar para versões corrigidas conforme tabela acima - Data de lançamento do patch: dezembro de 2021 **Mitigações complementares:** 1. **Restringir acesso de rede ao console UEM** - o console administrativo nunca deve estar acessível diretamente da internet; colocar atrás de VPN corporativa 2. **Implementar egress filtering** no servidor UEM para bloquear requisições a IPs de metadados de cloud (`169.254.169.254`, `fd00:ec2::254`) e ranges de rede interna 3. **Monitorar logs de acesso** do console para requisições com URLs em parâmetros incomuns 4. **Revisar grupos de acesso** ao console UEM - reduzir superfície de exposição a usuários administrativos apenas 5. Se o patch imediato não for possível: isolar o servidor UEM em VLAN dedicada com ACLs restritivas ## Contexto de Exploração Embora não haja atribuição pública a grupos específicos para esta CVE, o padrão de exploração de SSRF em sistemas MDM/UEM é consistente com TTPs de atores de espionagem e grupos de ransomware que priorizam comprometimento de infraestrutura de gerenciamento antes de se moverem lateralmente. O Workspace ONE UEM é frequentemente implantado em redes corporativas com amplo acesso interno, tornando-o um alvo estratégico. A inclusão no CISA KEV confirma que a exploração ocorreu em ambientes reais, embora os detalhes operacionais não sejam públicos. **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do console exposto - [[t1602-data-from-configuration-repository|T1602 - Data from Configuration Repository]] - acesso a configurações via SSRF - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - mapeamento de rede interna ## Relevância LATAM/Brasil > [!latam] Impacto LATAM - VMware Workspace ONE UEM SSRF > O VMware Workspace ONE é amplamente adotado em grandes corporações e órgãos governamentais brasileiros para gerenciamento de dispositivos móveis e laptops corporativos. Bancos, operadoras de telecomúnicações e empresas de utilities no Brasil utilizam plataformas MDM/EMM como o Workspace ONE como infraestrutura crítica de TI. Um servidor UEM comprometido pode expor dados de milhares de dispositivos gerenciados e servir como ponto de entrada para movimentação lateral na rede corporativa. O risco é amplificado quando o console administrativo está exposto à internet sem proteção de VPN adequada. O [[_vmware|VMware]] Workspace ONE é amplamente utilizado nos setores [[financial]], [[government]] e [[technology]] no Brasil. A posição de centralidade desta plataforma no gerenciamento de endpoints corporativos a torna um alvo de alto valor para reconhecimento de rede interna e pivô lateral. Organizações com consoles UEM não patcheados ou expostos indevidamente devem priorizar a remediação. ## Notas Relacionadas **Vendor:** [[_vmware|VMware]] **CVEs VMware relacionadas:** [[cve-2021-22005|CVE-2021-22005]] · [[cve-2022-22954|CVE-2022-22954]] · [[cve-2022-22972|CVE-2022-22972]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1602-data-from-configuration-repository|T1602]] · [[t1046-network-service-discovery|T1046]] **Setores em risco:** [[financial]] · [[government]] · [[technology]] · [[telecommunications]] ## Referências - [NVD - CVE-2021-22054](https://nvd.nist.gov/vuln/detail/CVE-2021-22054) - [VMware Advisory VMSA-2021-0028](https://www.vmware.com/security/advisories/VMSA-2021-0028.html) - [CISA KEV - CVE-2021-22054](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [VMware KB - Workspace ONE UEM Security Patches](https://kb.vmware.com/s/article/87090)