CVE-2022-31672 Erkennung: Nicht authentifizierter Remote Code Execution Exploit durch Nutzung gepatchter Schwachstellen in VMware vRealize Operations Management Suite
Inhaltsverzeichnis:
Sicherheitslücken in VMware-Produkten, die in Exploit-Chain-Angriffen genutzt werden können, stehen seit Mai 2022 im Rampenlicht der Cyberbedrohungsarena, als CISA eine Warnung zu bekannten Schwachstellen in Bezug auf Remote Code Execution (RCE) und Privilegieneskalation herausgab. bekannte Schwachstellen hinsichtlich Remote-Code-Ausführung (RCE) und Privilegieneskalation. Am 9. August 2022 beseitigte VMware eine weitere Reihe von Schwachstellen, die in einem vorauthentifizierten RCE-Exploit für VMware vRealize Operations Manager Suite (vROPS) ausgenutzt werden könnten. VMware veröffentlichte auch das zugehörige Beratungsdokument, das als VMSA-2022-0022verfolgt wird und die Details dieser Sicherheitslücken abdeckt. Die Schwachstellen im VMSA-2022-0022-Bericht, die in der Exploit-Chain verwendet werden können, umfassen die MainPortalFilter-UI-Authentifizierungsumgehung (CVE-2022-31675), die SupportLogAction-Informationsoffenlegung (CVE-2022-31674) und die generateSupportBundle-VCOPS_BASE-Privilegieneskalation (CVE-2022-31672). Jede einzelne Sicherheitslücke hat eine geringe Schwereauswirkung, jedoch gemeinsam ermöglichen sie einem nicht authentifizierten Angreifer die Ausführung von bösartigem Code auf den betroffenen Instanzen.
Erkennung von CVE-2022-31672: Der zweite Teil der Exploit-Chain
Entdeckte Schwachstellen in populären Produkten, die von Tausenden globaler Organisationen genutzt werden, können eine schwere Bedrohung darstellen, wenn sie miteinander kombiniert werden. SOC Primes Detection-as-Code-Plattform kuratiert eine Sigma-Regel zur Erkennung einer Privilegieneskalationsschwachstelle, die als CVE-2022-31672 verfolgt wird und die im zweiten Teil der RCE-Exploit-Chain behandelt wird, die in der VMSA-2022-0022-Benachrichtigung von VMware behandelt wird. Fachleute für Cybersicherheit können dem unten stehenden Link folgen, um Zugang zu dem von den SOC Prime Team-Inhaltsentwicklern erstellten dedizierten Detektionsalgorithmus zu erhalten:
Mögliche VMWare vRealize Privilegieneskalationsmuster [CVE-2022-31672] (via cmdline)
Diese Sigma-Regel kann über 19 SIEM-, EDR- und XDR-Technologien hinweg angewendet werden, einschließlich der branchenführenden cloud-nativen und On-Premise-Lösungen. Um die Bedrohungssichtbarkeit zu verbessern und die Wirksamkeit der Cybersicherheit zu steigern, ist die Erkennung ausgerichtet auf das MITRE ATT&CK®-Framework , das die Taktiken Ausführung und Verteidigungsevasion mit den entsprechenden Kommando- und Skriptinterpreter (T1059) und Hijack Execution Flow (T1574) Gegnermethoden adressiert. Cybersecurity-Experten können diese Sigma-Regel auch anwenden, um sofort nach verwandten Bedrohungen zu suchen, die die Exploit-Chain betreffen, welche die VMware-Produkte beeinflusst, mit dem SOC Primes Quick Hunt-Modul.
Um aktuelle und aufkommende Bedrohungen zu erkennen, die beliebte VMware-Produkte beeinflussen, sind Cybersecurity-Praktiker eingeladen, die gesamte Liste der dedizierten Sigma-Regeln auf SOC Primes Plattform zu nutzen. Klicken Sie auf den Detect & Hunt Button unten, um auf diese umfangreiche Sammlung relevanter, hochpräziser Alarme und verifizierter Jagdanfragen zuzugreifen und den Angreifern voraus zu bleiben. Suchen Sie nach einem tiefgehenden Cyber-Bedrohungskontext zur Hand? Durchsuchen Sie SOC Prime nach VMware-bezogenen Bedrohungen und tauchen Sie sofort in die umfassenden kontextbezogenen Informationen mit MITRE ATT&CK-Links, CTI-Referenzen und einer Liste relevanter Sigma-Regeln ein.
Detect & Hunt Bedrohungskontext erkunden
Exploit-Chain, die VMware vRealize Operations Manager betrifft: Angriffsanalyse
Am 9. August 2022 gab VMware ein Beratungsdokument heraus VMSA-2022-0022 , das eine Reihe von Schwachstellen in seinem vRealize Operations Manager Suite (vROPS) ab der Produktversion 8.6.3 abdeckt. Die aufgedeckten Sicherheitslücken umfassen die Privilegieneskalationsschwachstelle, die als CVE-2022-31672 nachverfolgt wird, die Informationsfreigabe-Schwachstellen CVE-2022-31673 und CVE-2022-31674 sowie die Authentifizierungsschwachstelle CVE-2022-31675. VMware hat auch entsprechende Patches veröffentlicht, um die aufgedeckten Schwachstellen in betroffenen VMware-Produkten zu beseitigen. Organisationen wird auch empfohlen, auf die behobene VMware vROPS-Version 8.6.4 zu aktualisieren, um die Bedrohung zu mindern.
Insbesondere kann jede der aufgedeckten Schwachstellen als relativ moderat in Bezug auf Schwere und Auswirkungen betrachtet werden, basierend auf ihrem CVSS-Score (zwischen 5.6 und 7.2), wenn sie für sich alleine ausgenutzt wird, jedoch in der Kombination weisen sie eine viel zerstörerischere Auswirkung auf. Der Cybersicherheitsforscher Steven Seeley vom Qihoo 360 Vulnerability Research Institute, der das Problem VMware gemeldet hat, veröffentlichte den PoC-Exploit auf GitHub genannt „DashOverride“, die drei der oben genannten gepatchten Schwachstellen (CVE-2022-31675, CVE-2022-31674 und CVE-2022-31672) kombiniert. Laut der speziellen Cybersicherheitsforschung auf dem Source Incite Blog, können diese Sicherheitslücken zu einer vorauthentifizierten Remote-Root-Exploit-Chain führen, die Tausende von Organisationen schweren Risiken aussetzen könnte.
Die Exploit-Chain beginnt damit, die Schwachstelle CVE-2022-31675 auszunutzen, die es einem Angreifer ermöglicht, eine gültige Dashboard-Link-ID zu verwenden, um die Authentifizierung zu umgehen. Bedrohungsakteure können auch von diesem Sicherheitsfehler profitieren, indem sie eine Drittpartei mit einer bösartigen Webseite verbinden, die die Anwendung mit einem Benutzer mit Administratorrechten hintertürn kann. Eine weitere Informationsfreigabe-Schwachstelle CVE-2022-31674 tritt in der Exploit-Chain auf, wenn der gültige Pak-Manager ausgenutzt wird, der für das Schreiben sensibler Passwörter in Logdateien verantwortlich ist.
Der zweite Teil der Exploit-Chain beinhaltet die Nutzung der Privilegieneskalationsschwachstelle CVE-2022-31672, die es Benutzern mit niedrigen Berechtigungen ermöglicht, das ausführbare Skript als Root auszuführen. Um sicherzustellen, dass die Ausnutzung funktioniert, müssen Bedrohungsakteure die Umgebungsvariable konfigurieren, bevor sie ein Skript zur Privilegieneskalation aufrufen.
Die zunehmenden Volumen an Exploit-Chains, die populäre Produkte betreffen, die von mehreren Organisationen weltweit genutzt werden, stellen eine dringende Herausforderung für Cyberverteidiger dar. SOC Primes Detection-as-Code-Plattform ermöglicht es Cybersicherheitspraktikern, proaktiv Ausnutzungsversuche zu erkennen und rechtzeitig Bedrohungen jeglicher Größenordnung und Komplexität zu mindern, indem die Macht der kollaborativen Cyberabwehr genutzt wird. Bedrohungsjäger und Erkennungsingenieure, die nach persönlichem Fortschritt streben, können sich auch dem Threat Bounty Program anschließen, um inhaltliche Beiträge in Form von Crowdsourcing zu leisten, hochwertige Detektionsalgorithmen zu entwickeln, diese mit Branchenkollegen zu teilen und ihre Fähigkeiten auf wiederkehrender Basis zu monetarisieren.
