CVE-2022-41974, CVE-2022-41973, CVE-2022-3328 Exploit-Erkennung: Drei Linux-Schwachstellen kombiniert zur Erlangung voller Root-Rechte
Inhaltsverzeichnis:
Sicherheitsexperten von Qualys‘ Threat Research Unit warnen vor einer neuartigen Sicherheitsanfälligkeit (CVE-2022-3328) in Snapd, einem beliebten Softwareverwaltungstool für Linux, die für lokale Privilegienerweiterung und die Ausführung beliebigen Codes ausgenutzt werden könnte. Das im Mittelpunkt stehende Sicherheitsproblem kann mit älteren Schwachstellen in multipathd (CVE-2022-41973 & CVE-2022-41974) kombiniert werden, um Privilegien auf Linux-Systemen zu Root zu eskalieren.
Erkennung von CVE-2022-41974, CVE-2022-41973, CVE-2022-3328-Ausnutzungsversuchen
Da die Exploit-Kette ein erhebliches Risiko für Linux-Systeme darstellt, benötigen Sicherheitsfachleute zuverlässige Ressourcen für Erkennungsinhalte, um Angriffe auf die Unternehmensumgebung in den frühesten Entwicklungsphasen zu identifizieren. Das SOC Prime Team hat eine Reihe von Sigma-Regeln veröffentlicht, die Ausnutzungsversuche von CVE-2022-3328, CVE-2022-41973 und CVE-2022-41974 erkennen:
Mögliche Ausnutzung und Post-Exploitation-Muster von CVE-2022-3328 in Snap-Confine (via cmdline)
Diese Regel erkennt Ausnutzungsmuster der Race Condition in Snap-confine must_mkdir_and_open_with_perms() basierend auf Sicherheits forschung von Qualys. Die Erkennung kann über 18 SIEM-, EDR- und XDR-Technologien hinweg verwendet werden und ist mit dem MITRE ATT&CK®-Framework abgestimmt, wobei die Taktik der Privilegieneskalation mit der entsprechenden Technik zur Ausnutzung für Privilegieneskalation (T1068) adressiert wird.
Mögliche Ausnutzungskette von CVE-2022-41974 und CVE-2022-41973 [multipathd] (via auditd)
Mögliche Ausnutzungskette von CVE-2022-41974 und CVE-2022-41973 [multipathd] (via file_event)
Die obigen Regeln erkennen Ausnutzungsmuster der Autorisierungsumgehung, auch bekannt als Symlink-Angriff, in multipathd (Symlink-Erstellung) und basieren ebenfalls auf Qualys-Forschung. Die Erkennungen können über 18 SIEM-, EDR- und XDR-Technologien angewendet werden und sind mit ATT&CK abgestimmt, wobei die Taktik der Privilegieneskalation mit der entsprechenden Technik zur Ausnutzung für Privilegieneskalation (T1068) adressiert wird.
Möchten Sie sich den kollektiven Cyberverteidigungskräften anschließen und Geld verdienen, während Sie die Welt zu einem sichereren Ort machen? Melden Sie sich für unser Threat Bounty Programan, veröffentlichen Sie exklusive Sigma-Regeln auf dem größten Bedrohungserkennungsmarktplatz, verbessern Sie Ihre Detection Engineering-Fähigkeiten und vernetzen Sie sich mit Branchenexperten, während Sie finanzielle Vorteile für Ihren Beitrag erhalten.
Drücken Sie die Explore Detections Taste, um die umfangreiche Liste von Sigma-Regeln zu überprüfen, die Linux-Anwendungsfälle abdecken. Greifen Sie auf die Erkennungsinhalte für Linux-bezogene Bedrohungen zu, die von CTI-Links, ATT&CK-Referenzen und Bedrohungsanalyse-Ideen begleitet werden.
Exploit-Kette von Linux-Schwachstellen: Hochwirksame Angriffsanalyse
Im Zeitraum 2021-2022gab es einen signifikanten Anstieg beim Verbrauch von Erkennungsinhalten für Linux-Bedrohungen, was auf einen dringend benötigten Endpunktschutz gegen aufkommende Cyberangriffe auf Linux-basierte Umgebungen hindeutet.
Das Qualys Forschungsteam hat früher zwei Schwachstellen in Linux multipathd aufgedeckt, die als „Leeloo Multipath“ bekannt sind und zu einer Autorisierungsumgehung und Symlink-Angriffen führen können. Der multipathd-Daemon ist ein Dienstprogramm, das entwickelt wurde, um fehlerhafte Pfade zu überprüfen, das in der Standardinstallation von Linux-Betriebssystemen wie dem Ubuntu-Server als Root ausgeführt wird.
Die oben erwähnten Schwachstellen können mit einer neu entdeckten dritten Schwachstelle kombiniert werden, die weitaus höhere Cybersecurity-Risiken bergen kann. Die erfolgreiche Ausnutzung aller drei Schwachstellen kann Angreifern ermöglichen, volle Root-Privilegien auf kompromittierten Linux-Systemen zu erlangen.
Die früher entdeckten Schwachstellen werden als CVE-2022-41974 und CVE-2022-41973 verfolgt, wobei die erstere zu Autorisierungsumgehung führt (CVSS-Score 7.8) und die letztere möglicherweise einen Symlink-Angriff verursacht (CVSS-Score 7.0). Beide Schwachstellen, unabhängig davon, ob sie — einzeln oder zusammen verwendet werden — können zu lokaler Privilegieneskalation zu Root führen.
Der neuartige Sicherheitsfehler, der als CVE-2022-3328 verfolgt wird, betrifft die Snap-confine-Funktion auf Linux-Betriebssystemen, die von Snapd verwendet wird, um die Ausführungsumgebung für Snap-Apps zu erstellen. Derzeit sind keine Abhilfemaßnahmen für CVE-2022-3328 verfügbar. Obwohl die Schwachstelle nicht aus der Ferne ausgenutzt werden kann, steigen die Risiken entsprechender Ausnutzungsversuche, vorausgesetzt, dass Bedrohungsakteure sich als nicht privilegierte Benutzer anmelden und ihnen ermöglichen, Root-Privilegien zu erlangen. Diese Sicherheitslücke wurde im Februar 2022 durch das Patch für eine andere Race Condition-Snapd-Schwachstelle eingeführt, die als CVE-2021-44731 verfolgt wird. Cyberverteidiger empfehlen dringend, das Patch für diese Schwachstelle anzuwenden, um sich proaktiv gegen potenzielle Eindringlinge zu schützen.
Easily ausnutzbare Schwachstellen in gängiger Software setzen tausende globaler Unternehmen Reputationsrisiken aus, daher nimmt die proaktive Erkennung von Schwachstellen-Ausnutzung einen der Spitzenplätze unter den SOC-Inhaltsprioritäten ein. Über 700 Erkennungsalgorithmen für aktuelle und bestehende CVEs nutzen kollektive Cyberverteidigung — erhalten Sie über 120 Sigma-Regeln kostenlos unter https://socprime.com/ oder den gesamten Erkennungsbestand mit On Demand unter https://my.socprime.com/pricing/. Nutzen Sie unser Cyber Monday Angebot für On Demand, um bis Ende 2022 bis zu 200 weitere Premium-Sigma-Regeln Ihrer Wahl zu erhalten.
