# CVE-2022-22954 > [!critical] RCE por SSTI no VMware Workspace ONE Access - CVSS 9.8 > Server-Side Template Injection crítico no VMware Workspace ONE Access e Identity Manager permite execução remota de código sem autenticação. Explorada ativamente por grupos APT em ataques a infraestrutura de autenticação corporativa. ## Visão Geral A [[cve-2022-22954|CVE-2022-22954]] é uma vulnerabilidade crítica de **Server-Side Template Injection (SSTI)** no [[_vmware|VMware]] Workspace ONE Access e VMware Identity Manager. Com CVSS 9.8, a falha permite que um atacante remoto não autenticado injete e execute código malicioso no servidor através do mecanismo de templates Freemarker utilizado pela aplicação. Esta vulnerabilidade foi parte de um conjunto de CVEs críticas divulgadas pela VMware em abril de 2022 (VMSA-2022-0011), tendo sido rapidamente explorada por múltiplos grupos de ameaça. A CISA emitiu alertas de exploração ativa por atores nação-estado aproveitando esta falha para comprometer infraestrutura de identidade e acesso corporativo. No Brasil, o VMware Workspace ONE é utilizado como plataforma de gestão de acesso (IAM) e MDM por grandes empresas e órgãos governamentais, tornando esta vulnerabilidade especialmente sensível para organizações com ambientes corporativos híbridos. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Server-Side Template Injection (SSTI) | | Componente | Freemarker Template Engine | | Vetor | Rede - sem autenticação | | Complexidade | Baixa | | Impacto | RCE com permissões da aplicação | ### Como Funciona A vulnerabilidade ocorre quando parâmetros de entrada controlados pelo usuário são diretamente inseridos em templates Freemarker sem sanitização adequada. O atacante pode injetar expressões Freemarker como: ``` ${7*7} → 49 (confirmação de SSTI) ${"freemarker.template.utility.Execute"?new()("id")} → RCE ``` ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Workspace ONE exposto | | [[t1059-004-unix-shell\|T1059.004]] | Execução via shell pós-SSTI | | [[t1078-valid-accounts\|T1078]] | Uso de contas IAM comprometidas | | [[t1550-001-application-access-token\|T1550.001]] | Roubo de tokens de acesso SSO | ## Detecção e Defesa **Mitigações:** - Aplicar patch VMSA-2022-0011 imediatamente - [[m1051-update-software\|M1051]] - Atualização prioritária do Workspace ONE - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Restringir acesso externo ao portal de administração - Revisar logs de acesso para payloads SSTI (`${`, `#{`, `*{`) > [!latam] Relevância para Brasil e LATAM > Plataformas IAM como VMware Workspace ONE são gateways centrais de autenticação em grandes corporações brasileiras. O comprometimento desta infraestrutura pode dar acesso a todos os sistemas corporativos integrados via SSO - impacto potencial catastrófico para bancos, operadoras de telecomúnicações e empresas de energia que utilizam VMware como backbone de identidade. ## Referências - [VMware Advisory VMSA-2022-0011](https://www.vmware.com/security/advisories/VMSA-2022-0011.html) - [NVD - CVE-2022-22954](https://nvd.nist.gov/vuln/detail/CVE-2022-22954) - [CISA Advisory AA22-138B](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-138b)