CVE-2022-22954 Erkennung: Kritische Schwachstelle ebnet den Weg für RCE-Angriffe
Inhaltsverzeichnis:
Letzte Woche veröffentlichte VMware eine Beratung, die Benutzer dazu auffordert, acht Schwachstellen unterschiedlicher Schweregrade zu patchen. Ungepatchte Fehler ermöglichen das Kompromittieren der folgenden VMware-Produkte: VMware Workspace ONE Access, Identity Manager (vIDM), vRealize Automation (vRA), Cloud Foundation und Suite Lifecycle Manager. Die einfachste Beute auf der Trefferliste mit einem CVSS-Score von 9,8 ist eine serverseitige Template-Injection-Remote-Code-Ausführungs-Schwachstelle, die als CVE-2022-22954 verfolgt wird.
Erkennen Sie CVE-2022-22954
Gegner können Angriffe starten, indem sie CVE-2022-22954 ausnutzen, um eine serverseitige Template-Injection in VMware Workspace ONE Access Freemarker durchzuführen. Verwenden Sie die Sigma -Regel unten, entwickelt von den talentierten Mitgliedern des SOC Prime Teams , um verdächtige Aktivitäten in Ihrem System rechtzeitig zu verfolgen:
Möglicher VMware CVE-2022-22954-Ausbeutungsversuch (über Webserver)
Diese Erkennung ist für die folgenden SIEM-, EDR- & XDR-Plattformen verfügbar: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regel ist mit dem neuesten MITRE ATT&CK®-Framework v.10 ausgerichtet und adressiert die Taktik des Initialen Zugangs mit Exploit Public-Facing Application (T1190) als primäre Technik.
Verfolgen Sie die Aktualisierungen der Erkennungsinhalte im Zusammenhang mit CVE-2022-22954 im Threat Detection Marketplace Repository der SOC Prime Plattform hier.
Sind Sie ein erfahrener Entwickler von Bedrohungserkennungsinhalten? Nutzen Sie die Kraft der weltweit größten Cyberverteidigungsgemeinschaft, die vom Threat Bounty Program unterstützt wird. Teilen Sie Ihre Erkennungsinhalte und verdienen Sie wiederkehrende Belohnungen für Ihren wertvollen Beitrag.
Erkennungen anzeigen Threat Bounty beitreten
Analyse von CVE-2022-22954
Die kritische Remote-Code-Ausführungs-Schwachstelle, die als CVE-2022-22954 verfolgt wird, befindet sich in VMware Workspace ONE Access und Identity Manager. Der Fehler ist nicht beispiellos: Ende September 2022 ermöglichte CVE-2021-22005 Gegnern, verwundbare Systeme mit RCE-Angriffen anzugreifen, Root-Rechte zu erlangen und den vCenter-Server über das Netzwerk zu erreichen. Der neue RCE-Fehler ermöglicht Gegnern mit Netzwerkzugang eine serverseitige Template-Injection, die zur Remote-Code-Ausführung führen kann. Weitere Exploit-Details finden Sie in CVE-2022-22954 PoC.
VMware-Patches, die am 6. April 2022 veröffentlicht wurden, beheben eine Reihe von Sicherheitsproblemen in VMware-Produkten unterschiedlicher Schweregrade, darunter fünf kritische. Für eine erfolgreiche Minderung von CVE-2022-22954 wird allen Benutzern der betroffenen VMware-Produkte dringend geraten, die neuesten Patches anzuwenden oder verfügbare Workarounds ohne weitere Verzögerung zu prüfen.
Beitreten SOC Prime’s Detection as Code Plattform, um Ihre Jagdfähigkeiten zu optimieren und Zugang zum weltweit größten Live-Pool an Erkennungsinhalten zu erhalten, die von Branchenführern erstellt wurden. Sie sind daran interessiert, zur weltweiten Cybergemeinschaft beizutragen, indem Sie die Detection as Code-Plattform mit Ihren eigenen Erkennungsinhalten bereichern? Treten Sie unserem Threat Bounty Program für eine sichere Zukunft bei!
