Erkennung von CVE-2021-39144: Kritische Remote-Code-Ausführung Sicherheitslücke in VMware Cloud Foundation über XStream Open-Source-Bibliothek
Inhaltsverzeichnis:
Ein weiterer Tag, ein weiterer Exploit taucht in freier Wildbahn auf und bereitet Sicherheitspraktikern Kopfschmerzen. VMware warnt vor einem öffentlichen Exploit-Code, der für eine kürzlich gepatchte kritische Remote Code Execution (RCE)-Schwachstelle (CVE-2021-39144) in VMware Cloud Foundation und NSX Manager verfügbar ist. Durch Ausnutzen dieser Schwachstelle könnten nicht authentifizierte Bedrohungsakteure den bösartigen Code mit den höchsten Systemprivilegien ausführen, ohne dass eine Benutzerinteraktion erforderlich ist.
CVE-2021-39144 Erkennung
Mit verfügbarem öffentlichen Exploit-Code stellt eine Schwachstelle mit einer Schwere von 9,8/10 eine kritische Bedrohung für Organisationen weltweit dar. Um Ihre organisatorische Infrastruktur zu schützen und potenziell böswillige Aktivitäten in den frühesten Angriffsphasen zu erkennen, holen Sie sich eine Sigma-Regelveröffentlichung von unserem erfahrenen Threat Bounty-Entwickler Wirapong Petshagun.
Die Erkennungen sind kompatibel mit 18 SIEM-, EDR- und XDR-Technologien und sind ausgerichtet auf das MITRE ATT&CK®-Framework unter Berücksichtigung der Initial Access-Taktiken, mit Exploit Public-Facing Applications (T1190) als entsprechende Technik.
Treten Sie unserem Threat Threat Bounty Program bei, um Ihre exklusiven Erkennungsinhalte zu monetarisieren, während Sie Ihren zukünftigen Lebenslauf kodieren und Ihre Erkennungstechnik-Fähigkeiten verfeinern. Veröffentlicht im weltweit größten Marktplatz für Bedrohungserkennungen und von 7.000 Organisationen weltweit erforscht, können Ihre Sigma-Regeln helfen, aufkommende Bedrohungen zu erkennen und die Welt sicherer zu machen, während sie kontinuierlich finanzielle Gewinne bieten.
Klicken Sie auf die Schaltfläche „Erkennungen erkunden“, um sofortigen Zugriff auf Sigma-Regeln für CVE-2021-39144, entsprechende CTI-Links, ATT&CK-Referenzen und Bedrohungsjagd-Ideen zu erhalten.
CVE-2021-39144 Analyse
Die kritische Schwachstelle in VMware Cloud Foundation (CVE-2021-39144) tritt aufgrund einer Fehlkonfiguration in der Open-Source-Bibliothek XStream auf. Laut VMware-Beratung ermöglicht ein nicht authentifizierter Endpunkt, der XStream für die Eingabeserialisierung in VMware Cloud Foundation (NSX-V) nutzt, eine vor-authentifizierte RCE mit Root-Rechten. Der Fehler betrifft Cloud Foundation-Versionen 3.11 und niedriger, während Versionen 4.x als sicher gelten.
Die Schwachstelle erhielt die höchste Schwerebewertung von 9,8 von 10 und wurde sofort vom Anbieter am 25. Oktober 2022 gepatcht. Bemerkenswert ist, dass VMware by the vendor on October 25, 2022. Notably, even though VMware den allgemeinen Support für NSX-V im Januar 2022 beendete, ein Patch für End-of-Life-Produkte verfügbar gemacht wurde. Außerdem wurden spezielle Richtlinien veröffentlicht, um Kunden bei der Aktualisierung von NSX-V 6.4.14-Appliances auf Cloud Foundation 3.x anzuleiten. Benutzer werden dringend gebeten, so schnell wie möglich zu aktualisieren, da die Verfügbarkeit von öffentlichem Exploit-Code eine Welle von Angriffen in der Wildnis vermuten lässt, die der Log4Shell -Ausbruch ähneln.
Steigern Sie Ihre Bedrohungserkennungsfähigkeiten und beschleunigen Sie die Bedrohungsjagdgeschwindigkeit mit Sigma, MITRE ATT&CK und Detection as Code, um immer kuratierte Erkennungsalgorithmen gegen jede gegnerische TTP oder jede ausnutzbare Schwachstelle zur Hand zu haben. Erhalten Sie 800 Regeln für bestehende CVEs, um proaktiv gegen die Bedrohungen zu verteidigen, die am meisten zählen. Erreichen Sie sofort 140+ Sigma-Regeln kostenlos oder erhalten Sie alle relevanten Erkennungsalgorithmen On Demand unter https://my.socprime.com/pricing/.
