Detección de CVE-2022-22960 y CVE-2022-22954: Advertencia de CISA sobre Intentos de Explotación de Vulnerabilidades No Corregidas de VMware
Tabla de contenidos:
El 18 de mayo de 2022, CISA emitió un aviso advirtiendo a las organizaciones sobre posibles intentos de explotación de vulnerabilidades conocidas en los productos VMware identificadas como CVE-2022-22954 y CVE-2022-22960. Una vez explotadas, los fallos revelados dan luz verde a los actores de amenazas para realizar inyecciones de plantillas maliciosas en el servidor. Más específicamente, la explotación del CVE-2022-22954 puede conducir a la ejecución remota de código, mientras que la falla CVE-2022-22960 puede ser utilizada para la escalada de privilegios. Lo que duplica los riesgos es el hecho de que los nuevos errores descubiertos en VMware pueden ser una fuente de ataques en cadena de explotación.
Detectar Intentos de Explotación de CVE-2022-22954 y CVE-2022-22960
Para detectar patrones de explotación relacionados con la falla CVE-2022-22954 de VMware, la plataforma Detection as Code de SOC Prime ofrece un lote de reglas Sigma dedicadas:
Reglas Sigma para detectar intentos de explotación de CVE-2022-22954
Además, los profesionales de la ciberseguridad pueden acceder a la nueva regla Sigma lanzada para la detección de CVE-2022-22960 creada por nuestro desarrollador de Threat Bounty Sittikorn Sangrattanapitak:
Para acceder a estas reglas Sigma seleccionadas, asegúrese de iniciar sesión o registrarse en la plataforma para obtener la experiencia de detección más optimizada. Todas las detecciones están alineadas con el marco MITRE ATT&CK® para proporcionar visibilidad relevante de amenazas y están disponibles para la mayoría de las soluciones SIEM, EDR y XDR compatibles con la plataforma de SOC Prime.
Para detectar intentos de explotación de múltiples vulnerabilidades conocidas que afectan a los productos VMware, explore la extensa colección de algoritmos de detección disponibles en la plataforma de SOC Prime. Haga clic en el Ver Detecciones botón para acceder al kit de reglas dedicado. Los expertos en ciberseguridad que se esfuerzan por marcar la diferencia y enriquecer la biblioteca de contenido de detección con sus propias contribuciones están invitados a unirse al Programa Threat Bounty y tener la oportunidad de convertir sus habilidades profesionales en beneficios financieros recurrentes.
Ver Detecciones Unirse a Threat Bounty
Análisis de Vulnerabilidades VMware
VMware lanzó actualizaciones para tanto CVE-2022-22954 como CVE-2022-22960 hace un mes, lo que no impidió que los actores de amenazas explotaran rápidamente los fallos revelados en instancias de VMware sin parchear dentro de las 48 horas siguientes al lanzamiento de las actualizaciones relacionadas. Según la Directiva BOD 22-01 de CISA, se instó a los cuerpos federales a tomar medidas inmediatas para implementar urgentemente las actualizaciones para las vulnerabilidades mencionadas anteriormente con el fin de minimizar los riesgos de seguridad.
Según la información del último Asesoramiento en Ciberseguridad, CVE-2022-22954 y CVE-2022-22960 pueden ser encadenados juntos para ganar control total del sistema. Una de las víctimas informó que los adversarios primero explotaron CVE-2022-22954 para ejecutar un comando shell arbitrario y luego aprovecharon la segunda falla de VMware en la cadena de explotación para la escalada de privilegios. Al obtener acceso root, los atacantes fueron libres de borrar registros, elevar permisos y aplicar movimiento lateral para ganar más control sobre el sistema comprometido. Además, investigadores en ciberseguridad observaron otro incidente con el abuso de CVE-2022-22954 con la finalidad de propagar a más un webshell malicioso Dingo J-spy.
Investigadores en ciberseguridad observaron anteriormente un par de otras vulnerabilidades críticas reveladas en VMware vCenter. En febrero de 2021, se identificó una falla de ejecución remota de código identificada como CVE-2021-21972 con un puntaje CVSS de 9.8 en el plugin del Servidor vCenter. Una vez divulgada, se informó que esta vulnerabilidad crítica llevó a un escaneo masivo de instancias comprometidas con la PoC disponible en GitHub al día siguiente de su descubrimiento.
Más tarde, en 2021, se identificó otra vulnerabilidad crítica como CVE-2021-22005 en el Servidor VMware vCenter. La falla fue explotada públicamente en la naturaleza y debido a la exposición de una amplia gama de infraestructuras críticas a altos riesgos, CISA lanzó un aviso dedicado listando las medidas de mitigación correspondientes.
En cuanto a las medidas de mitigación en respuesta a la explotación de CVE-2022-22954 y CVE-2022-22960, los productos afectados de VMware deben actualizarse prontamente a la última versión. Además, para minimizar los riesgos de ataques en cadena de explotación relacionados, se recomienda a las organizaciones remover las versiones de software afectadas de sus sistemas.
Las organizaciones progresistas que buscan formas de mantenerse a la vanguardia pueden sacar el máximo provecho de la solución de SOC Prime diseñada para ayudar a los equipos a maximizar el valor de sus inversiones en seguridad. Al unirse a la plataforma Detection as Code de SOC Prime, los expertos en seguridad pueden ver en acción cómo pueden beneficiarse de capacidades avanzadas de defensa cibernética.
