Detección de CVE-2022-29799 y CVE-2022-29800: Vulnerabilidades novedosas de escalada de privilegios en el sistema operativo Linux conocidas como Nimbuspwn

El 26 de abril, el Equipo de Investigación de Microsoft 365 Defender descubrió un par de nuevas vulnerabilidades colectivamente denominadas Nimbuspwn, que permiten a los adversarios escalar privilegios en múltiples entornos de escritorio Linux. Las fallas recién detectadas de Nimbuspwn han sido identificadas como CVE-2022-29799 y CVE-2022-29800.

Una vez encadenadas, estas fallas dan luz verde a los hackers para obtener privilegios de root, llevar al despliegue de cargas útiles y comprometer más los sistemas Linux mediante la ejecución de código root arbitrario. Además, la actividad potencialmente maliciosa puede escalarse a través de estas novedosas vulnerabilidades Nimbuspwn, exponiendo entornos Linux comprometidos a amenazas más avanzadas, incluidos ataques de ransomware.

Detección de CVE-2022-29799 y CVE-2022-29800: Nimbuspwn

Para proporcionar visibilidad sobre las amenazas relacionadas con las vulnerabilidades Nimbuspwn recién descubiertas rastreadas como CVE-2022-29799 y CVE-2022-29800, el Equipo de SOC Prime ha entregado una regla Sigma dedicada disponible en la plataforma de SOC Prime. Se insta a los profesionales de seguridad a registrarse en la plataforma o iniciar sesión con las credenciales existentes para acceder a esta regla:

Posible Actividad LPE de Nimbuspwn (via process_creation)

Esta detección se puede utilizar en 20 soluciones SIEM, EDR y XDR y está alineada con la última versión del marco MITRE ATT&CK® para mejorar la visibilidad de las TTPs del adversario, abordando la táctica de Escalación de Privilegios y la técnica correspondiente de Explotación para Escalación de Privilegios (T1068).

Para mantener SIEMs y otras soluciones de seguridad en uso constantemente actualizadas con contenido SOC en tiempo casi real, los equipos son bienvenidos a explorar la pila de detección integral disponible en la plataforma de SOC Prime haciendo clic en el Ver Detecciones botón. Para aquellos entusiastas de la ciberseguridad que se esfuerzan por reforzar el potencial de defensa cibernética a través de la contribución a una iniciativa de crowdsourcing, unirse al Programa de Recompensas de Amenaza puede ser un gran punto de partida para evolucionar las habilidades de caza de amenazas y desarrollo de contenido y colaborar por un futuro digital más seguro.

Ver Detecciones Unirse al Programa de Recompensas de Amenaza

Resumen de Nimbuspwn

Según una investigación de Microsoft, los investigadores revelaron un conjunto de brechas de seguridad al inspeccionar un componente systemd denominado networkd-dispatcher dentro de un popular mecanismo de canal de comunicación entre procesos D-Bus (IPC). En particular, identificaron un problema de recorrido de directorios (CVE-2022-29799) así como fallas de carrera de enlace simbólico y tiempo de verificación a tiempo de uso (CVE-2022-29800) que podrían encadenarse para adquirir privilegios de root en sistemas Linux y ejecutar puertas traseras en los entornos comprometidos.

Para mitigar las posibles amenazas asociadas con los intentos de explotación de las vulnerabilidades Nimbuspwn, se insta a los usuarios de networkd-dispatcher a actualizar sus instancias a las últimas versiones de software. Además, las organizaciones progresistas que se esfuerzan por mejorar su postura de ciberseguridad deben tomar medidas para monitorear constantemente sus entornos debido a los altos riesgos de nuevas fallas descubiertas en sistemas Linux.

Implementar un enfoque proactivo de gestión de vulnerabilidades puede ayudar a las organizaciones a revelar y mitigar amenazas y explotaciones que eran desconocidas anteriormente. Aprovechar la plataforma de Detección como Código de SOC Prime permite a los equipos detectar amenazas en las primeras etapas del ciclo de vida del ataque mientras aceleran continuamente las capacidades de defensa cibernética.