Detección de CVE-2022-22954: Vulnerabilidad Crítica que Sienta las Bases para Ataques RCE
Tabla de contenidos:
La semana pasada, VMware publicó un aviso instando a los usuarios a parchear ocho vulnerabilidades de diversos niveles de severidad. Los errores sin parchear permiten el compromiso de los siguientes productos de VMware: VMware Workspace ONE Access, Identity Manager (vIDM), vRealize Automation (vRA), Cloud Foundation y Suite Lifecycle Manager. La presa más fácil en la lista de objetivos, con una puntuación CVSS de 9.8, es una vulnerabilidad de inyección de plantillas del lado del servidor para ejecución remota de código, rastreada como CVE-2022-22954.
Detectar CVE-2022-22954
Los adversarios pueden lanzar ataques explotando CVE-2022-22954 para realizar inyecciones de plantillas del lado del servidor Freemarker de VMware Workspace ONE Access. Utilice la regla Sigma a continuación, desarrollada por los talentosos miembros del Equipo SOC Prime para rastrear a tiempo cualquier actividad sospechosa relevante en su sistema:
Posible Intento de Explotación de VMWare CVE-2022-22954 (a través de servidor web)
Esta detección está disponible para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Acceso Inicial con la técnica de Explotación de Aplicación Pública (T1190) como técnica principal.
Siga las actualizaciones de contenido de detección relacionadas con CVE-2022-22954 en el repositorio del Threat Detection Marketplace de la plataforma SOC Prime aquí.
¿Eres un desarrollador experimentado de contenido de detección de amenazas? Aprovecha el poder de la comunidad de ciberdefensa más grande del mundo impulsada por el Programa Threat Bounty, comparte tu contenido de detección y gana recompensas recurrentes por tu valiosa contribución.
Ver Detecciones Únete al Threat Bounty
Análisis de CVE-2022-22954
La vulnerabilidad crítica de ejecución remota de código, rastreada como CVE-2022-22954, reside en VMware Workspace ONE Access e Identity Manager. El error no es sin precedentes: a finales de septiembre de 2022, CVE-2021-22005 permitió a los adversarios atacar sistemas vulnerables con ataques RCE, logrando privilegios de root y alcanzando el servidor vCenter a través de la red. La nueva falla de RCE permite a los adversarios con acceso a la red una inyección de plantillas del lado del servidor que puede llevar a la ejecución remota de código. Para más detalles sobre la explotación, consulte CVE-2022-22954 PoC.
Los parches de VMware,publicados el 6 de abril de 2022, abordan una serie de problemas de seguridad en productos de VMware de varios niveles de severidad, incluidos cinco críticos. Para una mitigación exitosa de CVE-2022-22954, se recomienda encarecidamente a todos los usuarios de los productos de VMware afectados que apliquen los últimos parches o consideren las soluciones temporales disponibles sin ninguna demora.
Únase a la Plataforma de Detección como Código de SOC Prime para optimizar sus capacidades de caza y desbloquear acceso al mayor conjunto vivo de contenido de detección creado por líderes de la industria. ¿Entusiasta por contribuir a la comunidad cibernética mundial enriqueciendo la plataforma de Detección como Código con su propio contenido de detección? Únase a nuestro Programa Threat Bounty ¡por un futuro más seguro!
