CVE-2022-22960 und CVE-2022-22954 Erkennung: CISA warnt vor Ausnutzungsversuchen ungepatchter VMware-Schwachstellen
Inhaltsverzeichnis:
Am 18. Mai 2022, gab CISA eine Mitteilung heraus, die Organisationen vor möglichen Ausnutzungsversuchen bekannter Schwachstellen in den VMware-Produkten warnt, die als CVE-2022-22954 und CVE-2022-22960 verfolgt werden. Einmal ausgenutzt, ermöglichen die offengelegten Schwachstellen Bedrohungsakteuren eine bösartige Template-Injektion auf der Serverseite durchzuführen. Genauer gesagt kann die Ausnutzung von CVE-2022-22954 zu Remote-Code-Ausführung führen, während die Schwachstelle CVE-2022-22960 zur Privilegienerweiterung genutzt werden kann. Was die Risiken verdoppelt, ist die Tatsache, dass die neu entdeckten VMware-Bugs Quelle von Exploiting-Kettenangriffen sein können.
Erkennung von Ausnutzungsversuchen bei CVE-2022-22954 und CVE-2022-22960
Um Ausnutzungsmuster im Zusammenhang mit der VMware-Schwachstelle CVE-2022-22954 zu erkennen, bietet die Detection as Code-Plattform von SOC Prime eine Reihe von speziellen Sigma-Regeln:
Sigma-Regeln zur Erkennung von Ausnutzungsversuchen bei CVE-2022-22954
Auch können Cybersicherheitsfachleute auf die neu veröffentlichte Sigma-Regel zur Erkennung von CVE-2022-22960 zugreifen, die von unserem engagierten Threat Bounty-Entwickler Sittikorn Sangrattanapitak:
Mögliche VMware-Privilegieneskalation zum Root-Account [CVE-2022-22960] (über Prozess-Erstellung)
Um Zugang zu diesen ausgewählten Sigma-Regeln zu erhalten, sollten Sie sich einloggen oder die Plattform registrieren, um die Detection-Erfahrung zu optimieren. Alle Erkennungen sind mit dem MITRE ATT&CK®-Framework abgestimmt, um relevante Bedrohungstransparenz zu bieten und stehen für die meisten der von SOC Prime unterstützten SIEM-, EDR- und XDR-Lösungen zur Verfügung.
Um Versuche der Ausnutzung mehrerer bekannter Schwachstellen, die VMware-Produkte betreffen, zu erkennen, erkunden Sie die umfangreiche Sammlung von Detektionsalgorithmen, die in der SOC Prime-Plattform verfügbar sind. Klicken Sie auf den Erkennungen anzeigen -Button, um das dedizierte Regelkit zu erreichen. Cybersicherheitsexperten, die danach streben, einen Unterschied zu machen und die Bibliothek von Erkennungsinhalten mit ihren eigenen Beiträgen zu bereichern, sind eingeladen, am Threat Bounty-Programm teilzunehmen und die Möglichkeit zu erhalten, ihre beruflichen Fähigkeiten in wiederkehrende finanzielle Vorteile zu verwandeln.
Erkennungen anzeigen Threat Bounty beitreten
Analyse der VMware-Schwachstellen
VMware hat vor einem Monat Updates für CVE-2022-22954 und CVE-2022-22960 veröffentlicht, was Bedrohungsakteure jedoch nicht daran hinderte, die offengelegten Schwachstellen in ungepatchten VMware-Instanzen innerhalb von 48 Stunden nach Veröffentlichung der entsprechenden Updates zügig auszunutzen. Laut CISA’s BOD 22-01wurden Bundesbehörden aufgefordert, sofort Maßnahmen zur schnellen Umsetzung der Updates für die oben genannten Schwachstellen zu ergreifen, um Sicherheitsrisiken zu minimieren.
Laut den Informationen des neuesten Cybersicherheitsberichtskönnen CVE-2022-22954 und CVE-2022-22960 in Kombination genutzt werden, um die vollständige Systemkontrolle zu erlangen. Ein Opfer berichtete, dass Gegner zuerst CVE-2022-22954 ausgenutzt haben, um einen willkürlichen Shell-Befehl auszuführen, und dann die zweite VMware-Schwachstelle in der Exploit-Kette für die Privilegieneskalation nutzten. Durch die Erlangung von Root-Zugang konnten Angreifer Logs löschen, Berechtigungen erhöhen und laterale Bewegungen anwenden, um die Kontrolle über das kompromittierte System weiter zu übernehmen. Zudem beobachteten Cybersicherheitsforscher einen weiteren Vorfall mit dem Missbrauch von CVE-2022-22954, um eine bösartige Dingo J-spy Webshell weiter zu verbreiten.
Cybersicherheitsforscher beobachteten zuvor auch andere kritische Schwachstellen im VMware vCenter. Im Februar 2021 wurde eine Remote-Code-Ausführungsschwachstelle entdeckt, die als CVE-2021-21972 mit einem CVSS-Score von 9,8 in dem vCenter Server Plugin verfolgt wurde. Sobald offengelegt, wurde berichtet, dass diese kritische Schwachstelle zu Massen-Scanning kompromittierter Instanzen mit dem PoC führte, das am Tag nach seiner Entdeckung auf GitHub verfügbar war.
Später im Jahr 2021 wurde eine weitere kritische Schwachstelle identifiziert als CVE-2021-22005 im VMware vCenter Server entdeckt. Die Schwachstelle wurde öffentlich ausgenutzt und durch das Aussetzen eines breiten Spektrums kritischer Infrastrukturen großen Risiken, gab CISA eine spezielle Warnmeldung heraus, in der die entsprechenden Abhilfemaßnahmen aufgelistet wurden.
Hinsichtlich der Abhilfemaßnahmen als Reaktion auf die Ausnutzung von CVE-2022-22954 und CVE-2022-22960 sollten die betroffenen VMware-Produkte umgehend auf die neueste Version aktualisiert werden. Zudem wird Organisationen empfohlen, die betroffenen Softwareversionen von ihren Systemen zu entfernen, um die Risiken verwandter Exploit-Kettenangriffe zu minimieren.
Fortschrittliche Organisationen, die nach Möglichkeiten suchen, der Kurve voraus zu bleiben, können das Meiste aus der Lösung von SOC Prime herausholen, die darauf abzielt, Teams zu helfen, den Wert ihrer Sicherheitsinvestitionen zu maximieren. Durch den Beitritt zur Detection as Code-Plattform von SOC Primekönnen Sicherheitsexperten in Aktion sehen, wie sie von beschleunigten Cyber-Abwehrfähigkeiten profitieren können.
