Erkennung von Schwachstellen, die in CISA’s verbindlicher operativer Richtlinie 22-01 priorisiert sind

Um Organisationen die Möglichkeit zu geben, die in der Binding Operational Directive (BOD) 22-01 aufgeführten Risiken durch kritische Schwachstellen anzugehen, bietet SOC Prime eine umfassende Liste kuratierter Erkennungen an, um mögliche Exploitanläufe in Ihrer Infrastruktur zu identifizieren und potenziell betroffene Assets zu isolieren, während die Patch-Prozesse im Gange sind.

Die zunehmende Komplexität schädlicher Aktivitäten, die den privaten und öffentlichen Sektor weltweit bedrohen, erfordert, dass Organisationen ihre Cyberabwehrfähigkeiten stärken, um Angreifern einen Schritt voraus zu sein. Das Patchen bekannter Schwachstellen gehört zu den höchsten Prioritäten, um sich proaktiv gegen aufkommende Bedrohungen zu verteidigen.
Am 3. November 2021 veröffentlichte die Cybersecurity and Infrastructure Security Agency (CISA) Binding Operational Directive (BOD) 22-01 die darauf abzielt, Organisationen bei der Minderung der kritischen Risiken bekannter Schwachstellen, die aktiv ausgenutzt werden, zu unterstützen. BOD 22-01 ist verpflichtend für alle US-Bundesbehörden, jedoch wird allen anderen Organisationen, einschließlich Privatunternehmen, Unternehmen in verschiedenen Branchen und staatseigenen Unternehmen, dringend empfohlen, die im Fokus stehenden Schwachstellen zu priorisieren.

Alle kritischen Sicherheitsprobleme sind im von CISA herausgegebenem öffentlichen Katalog zusammen mit der Richtlinie 22-01 aufgeführt. Der Hauptzweck dieses Katalogs besteht darin, die spezifischen Sicherheitslücken zusammenzufassen und nachzuverfolgen, um Organisationen weltweit die Möglichkeit zu geben, potenzielle Risiken zu adressieren und Angriffen effizienter zu widerstehen.

Bekannter Katalog ausgenutzter Schwachstellen von CISA

CISA listet 291 Common Vulnerabilities and Exposures (CVEs) auf, die von Bundesbehörden dringend gepatcht werden müssen. Obwohl Patches für die gesamte Liste der Schwachstellen so schnell wie möglich angewendet werden sollten, ist die Priorisierung sehr wichtig, um ihre Implementierung schrittweise in drei Stufen zu ermöglichen: 

Höchste Priorität

Einige Schwachstellen auf der Liste sind bereits überfällig, daher sollten Organisationen dringend überprüfen, ob sie ihre Sicherheitsmaßnahmen mit den vorhandenen Patches verbessert haben. Solche Schwachstellen umfassen die schwerwiegendsten Exploits, die die digitale Welt in den Jahren 2020-2021 erschütterten, einschließlich PrintNightmare, SigRed, Zerologon, CryptoAPI, und Pulse Connect Secure Cybersecurity-Schwachstellen. Insgesamt gibt es 15 überfällige CVEs auf der Liste von CISA, die eine sofortige Behebung erfordern.

Hohe Priorität

Über 30 % (100) der Schwachstellen im von CISA verwalteten Katalog sind bis zum 17. November 2021 zu patchen, aufgrund der Schwere der Exploits und ihres hohen Risikoniveaus.

Mittlere Priorität

Für die Mehrheit der Schwachstellen auf der Liste (176) müssen die Maßnahmen bis zum 3. Mai 2022 umgesetzt werden, wodurch Organisationen mehr als 6 Monate Zeit für das Patchen haben.

Erkennung von CISA BOD 22-01 Schwachstellen mit der Detection as Code Plattform von SOC Prime

Als Reaktion auf den von CISA verwalteten Katalog, der in BOD 22-01 aufgeführt ist, bietet das SOC Prime Content Team die Liste der empfohlenen Inhalte zur Erkennung vonVersuchen, diese bekannten Schwachstellen auszunutzen.Alle Erkennungen sind in der Detection as Code Plattform von SOC Prime verfügbar und in Listen organisiert, die den Prioritäten für die Behebung basierend auf der Schwere und dem Risikolevel der Exploits (höchste und hohe) entsprechen, es Sicherheitsteams ermöglichend, zuerst auf die relevantesten Inhalte zuzugreifen.

Der von SOC Prime vorgestellte Ansatz basiert auf der Sichtweise der Bedrohungserkennung und -jagd, die es Organisationen ermöglicht, vorab einen umfassenden Überblick über die Sicherheitssilos zu erhalten und einfach zu priorisieren, was dringend gepatcht werden muss. Durch die Nutzung des von SOC Prime ausgewählten und nach Prioritäten zur Behebung geordneten Erkennungsstapels können Organisationen nach böswilligen Akteuren suchen, die kritische Bedrohungen ausnutzen, um die organisatorischen Assets zu kompromittieren. Wir empfehlen, die dedizierten Erkennungsinhalte von SOC Prime als Auslöser für die Isolation potenziell betroffener Systeme und kompromittierter Benutzer zu nutzen.

Erkennungen für CVEs mit höchster Priorität

Hier finden Sie die Liste der wichtigsten Erkennungsinhalte, die wir zusammengestellt haben, um Sicherheitsexperten bei der Lösung von CVEs zu unterstützen, die basierend auf der von CISA ausgegebenen Richtlinie 22-01

von höchster Priorität sind: — Pulse Connect Secure (PCS) Remote Code Execution

CVE-2021-26855 — Microsoft OWA Exchange Control Panel (ECP) Exploit Chain

CVE-2021-26857 — Microsoft OWA Exchange Control Panel (ECP) Exploit Chain

CVE-2021-26858 — Microsoft OWA Exchange Control Panel (ECP) Exploit Chain

CVE-2021-27065 — Microsoft OWA Exchange Control Panel (ECP) Exploit Chain

CVE-2020-1350 — „SigRed“ Windows DNS Server Remote Code Execution Vulnerability

CVE-2021-34527 — „PrintNightmare“ Microsoft Windows Print Spooler Remote Code Execution Vulnerability

CVE-2020-1472 — „ZeroLogon“ NetLogon Elevation of Privilege Vulnerability

CVE-2020-0601 — Windows 10 API/ECC Vulnerability (Windows CryptoAPI)

CVE-2020-8260 — Pulse Connect Secure RCE

CVE-2019-11510 — Pulse Secure VPN willkürliche Dateilesen-Schwachstelle (COVID-19-CTI-Liste)

CVE-2021-22900​  — Pulse Connect Secure willkürliche Datei-Upload-Schwachstelle

CVE-2021-22894​ — Pulse Connect Secure Collaboration Suite Remote Code Execution

CVE-2021-22899​ — Pulse Connect Secure Remote Code Execution

CVE-2020-8243 — Pulse Connect Secure willkürliche Codeausführung

The vollständige Erkennungsliste zur Adressierung aller CVEs mit höchster Priorität ist in der Detection as Code Plattform von SOC Prime verfügbar.

Erkennungen für CVEs mit hoher Priorität

Die folgende Liste umfasst kuratierte Erkennungsinhalte, die in der Plattform von SOC Prime verfügbar sind und die bekannten ausgenutzten Schwachstellen abdecken, die als hochprioritär eingestuft werden können, basierend auf dem entsprechenden von CISA verwalteten Katalog:

CVE-2021-1675 — Windows Print Spooler RCE

CVE-2021-22986 — F5 iControl REST nicht authentifiziertes RCE

CVE-2021-1879  — Apple iOS Webkit Browser Engine XSS

CVE-2021-21166 — Google Chrome Heap Buffer Overflow in WebAudio Vulnerability

CVE-2021-21224  —  Chromium V8 JavaScript Engine Remote Code Execution

CVE-2021-21972 — VMWare vCenter Server RCE

CVE-2021-21985 — VMWare vCenter Server Remote Code Execution

CVE-2021-22005 — VMWare vCenter Server File Upload

CVE-2021-22205 — GitLab Community und Enterprise Editions ab Version 11.9 Remote Code Execution

CVE-2021-22502 — Micro Focus Operation Bridge Report (OBR) Server RCE

CVE-2021-26084 — Atlassian Confluence Server willkürliche Codeausführung

CVE-2021-26411 — Microsoft Internet Explorer und Edge Speicherbeschädigungs-Schwachstelle

CVE-2021-30551 — Chromium V8 Engine Typverwirrung

CVE-2021-30554 — Google Chrome WebGL Use after Free

CVE-2021-31207 — Microsoft Exchange Server Sicherheitsmerkmal-Umgehungsschwachstelle

CVE-2021-31956 — Microsoft Windows NTFS Erhöhung der Privilegien Schwachstelle

CVE-2021-31979 — Windows Kernel Erhöhung der Privilegien

CVE-2021-33771 — Windows Kernel Erhöhung der Privilegien

CVE-2021-34473 — Microsoft Exchange Server Remote Code Execution Schwachstelle

CVE-2021-34523 — Microsoft Exchange Server Erhöhung der Privilegien Schwachstelle

CVE-2021-35211 — SolarWinds Serv-U Remote Memory Escape Schwachstelle

CVE-2021-36942 — Microsoft LSA Spoofing

CVE-2021-38647 — Microsoft Azure Open Management Infrastructure (OMI) Remote Code Execution

CVE-2021-40444 — Microsoft MSHTML Remote Code Execution Schwachstelle

CVE-2021-40539 — Zoho Corp. ManageEngine ADSelfService Plus Version 6113 und frühere Authentifizierungsumgehung

CVE-2021-41773 — Apache HTTP Server Pfadumgehung Schwachstelle

CVE-2021-42013 — Apache HTTP Server 2.4.49 und 2.4.50 Pfadumgehung

Verweisen Sie auf die vollständige Erkennungsliste für CVEs mit hoher Priorität über die Detection as Code Plattform von SOC Prime.

In diesem Artikel behandeln wir die relevantesten Erkennungsinhalte für die kritischsten CVEs, die im Schwachstellenkatalog von CISA aufgelistet sind. SOC Prime bereichert ständig die Detection as Code Plattform mit den aktuellsten Inhalten und neuen Erkennungen, die von BOD 22-01 gedeckte CVEs ansprechen und in den kommenden Wochen zur Kuratierung und Lieferung entwickelt werden.

Auf der Suche nach den neuesten Bedrohungserkennungsinhalten? Entdecken Sie die Detection as Code Plattform von SOC Prime die nativ kuratierte Sigma-basierte Erkennungsinhalte im Abonnement für über 20 SIEM- und XDR-Lösungen bereitstellt, die Sicherheitsteams weltweit bei der einfacheren, schnelleren und effizienteren Verteidigung gegen digitale Angriffe helfen. Um die kollaborative Cyberabwehr zu stärken, treten Sie bei der Crowdsourcing-Initiative von SOC Prime die es Bedrohungsjägern und Forschern weltweit ermöglicht, eigene Erkennungsinhalte zu monetarisieren, während sie zu einer sichereren Zukunft beitragen.