# CVE-2022-22972 > [!critical] Bypass de Autenticação no VMware Workspace ONE - CVSS 9.8 > Vulnerabilidade crítica de bypass de autenticação no VMware Workspace ONE Access e vRealize Automation permite que atacantes com acesso de rede obtenham acesso administrativo sem credenciais válidas. ## Visão Geral A [[cve-2022-22972|CVE-2022-22972]] é uma vulnerabilidade crítica de **bypass de autenticação** no [[_vmware|VMware]] Workspace ONE Access, VMware Identity Manager e VMware vRealize Automation. Com CVSS 9.8, a falha permite que um ator com acesso de rede à interface UI obtenha acesso administrativo sem necessidade de credenciais, contornando completamente o mecanismo de autenticação. Esta vulnerabilidade foi divulgada em conjunto com outra CVE crítica VMware - a [[cve-2022-22954|CVE-2022-22954]] (SSTI RCE) - como parte do advisory VMSA-2022-0014 em maio de 2022. Juntas, formam uma cadeia devastadora: CVE-2022-22972 fornece acesso admin, e CVE-2022-22954 converte esse acesso em execução de código no servidor. A exploração desta vulnerabilidade em ambientes corporativos com VMware como plataforma IAM pode resultar no comprometimento de toda a infraestrutura de identidade, afetando SSO, VDI, e acesso a aplicações críticas de negócio. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Bypass de Autenticação | | Componente | Interface de administração Workspace ONE | | Vetor | Rede - sem autenticação | | Complexidade | Baixa | | Cadeia com CVE-2022-22954 | Auth Bypass + RCE completo | ### Attack Flow ``` CVE-2022-22972 → Acesso Admin sem credenciais CVE-2022-22954 → SSTI RCE com permissões admin → Comprometimento completo do servidor IAM ``` O bypass de autenticação explora uma falha na lógica de válidação de sessão, onde determinados endpoints administrativos não verificam corretamente a autenticidade do token de sessão apresentado. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do portal Workspace ONE | | [[t1078-valid-accounts\|T1078]] | Contas admin criadas pós-bypass | | [[t1550-001-application-access-token\|T1550.001]] | Manipulação de tokens de sessão | | [[t1484-001-domain-policy-modification\|T1484.001]] | Modificação de políticas IAM pós-acesso | ## Detecção e Defesa **Mitigações:** - Aplicar patch VMSA-2022-0014 imediatamente - [[m1051-update-software\|M1051]] - Patch urgente para todos os componentes VMware IAM - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Restringir acesso à UI administrativa por IP/VPN - Monitorar logins administrativos sem autenticação MFA nos logs do Workspace ONE > [!latam] Relevância para Brasil e LATAM > Grandes corporações brasileiras nos setores financeiro, telecomúnicações e energia utilizam VMware Workspace ONE como plataforma central de gestão de identidade e acesso. O comprometimento desta infraestrutura via bypass de autenticação pode dar a atacantes acesso irrestrito a sistemas críticos de negócio, representando risco operacional e de conformidade com a LGPD de máxima severidade. ## Referências - [VMware Advisory VMSA-2022-0014](https://www.vmware.com/security/advisories/VMSA-2022-0014.html) - [NVD - CVE-2022-22972](https://nvd.nist.gov/vuln/detail/CVE-2022-22972) - [CISA Emergency Directive 22-02](https://www.cisa.gov/emergency-directive-22-02)