La vulnerabilidad CVE-2021-22054 afecta a Omnissa Workspace One UEM (anteriormente VMware Workspace One UEM), clasificada como CWE-918 (Server-Side Request Forgery). Esta falla permite que un atacante con conectividad de red al sistema UEM manipule el servidor para realizar solicitudes HTTP/S a recursos internos o externos no autorizados, sin necesidad de autenticación. El exploit funciona explotando endpoints que procesan URLs de usuario, redirigiendo requests del servidor a destinos controlados por el atacante, lo que podría revelar datos sensibles como credenciales o configuraciones internas. El impacto potencial incluye exposición de información confidencial, facilitando escaladas de privilegios o ataques posteriores en entornos empresariales de gestión de dispositivos móviles.
Alerta de Seguridad: Omnissa Workspace ONE Server-Side Request Forgery (CVE-2021-22054)
// resumen_ejecutivo
Vulnerabilidad SSRF en Omnissa Workspace One UEM permite a actores maliciosos con acceso de red enviar solicitudes sin autenticación, accediendo a información sensible. Severidad CVSS 7.5 (Alta). Aplicar mitigaciones del proveedor inmediatamente.
// descripcion_detallada
// vectores_de_ataque
Server-Side Request Forgery (SSRF) vía acceso de red no autenticado, permitiendo solicitudes internas arbitrarias sin ejecución remota de código (RCE) ni elevación de privilegios local (LPE).
// indicadores_de_compromiso 1 tipo
CVEs (1)
CVE-2021-22054
// recomendaciones_de_mitigacion
- Aplicar mitigaciones según las instrucciones del proveedor en el advisory VMSA-2021-0029, que incluye actualizaciones para versiones afectadas de Workspace One UEM (verificar detalles en la referencia oficial).
- Seguir la guía BOD 22-01 de CISA para servicios en la nube, implementando controles de red como firewalls WAF para bloquear requests SSRF.
- Si no se disponen mitigaciones, discontinuar el uso del producto y migrar a alternativas seguras.
- Monitorear logs de red en SIEM para detectar patrones de SSRF, como requests anómalos a localhost o IPs internas.