Detección de CVE-2022-30333: Nueva Vulnerabilidad en la Utilidad UnRAR
Tabla de contenidos:
La Agencia de Seguridad de Infraestructura Crítica de EE.UU. (CISA) amplía su catálogo de Vulnerabilidades Explotadas Conocidas documentando varios nuevos fallos de recorrido de directorio activamente explotados. Los errores en cuestión son un fallo de RCE etiquetado como CVE-2022-34713 y una vulnerabilidad de recorrido de ruta archivada bajo CVE-2022-30333. Microsoft ha reconocido que una vulnerabilidad CVE-2022-34713 es una variante del Follina-como DogWalk agujero de seguridad de recorrido de ruta en la Herramienta de Diagnóstico de Soporte de Microsoft Windows revelado a principios de este verano.
Otra falla rastreada como CVE-2022-30333 reside en las versiones de Linux y Unix de la utilidad UnRAR. Los adversarios desencadenan la vulnerabilidad atrayendo a las víctimas a abrir un archivo RAR armado.
Ambas fallas de alta severidad son explotadas en el entorno salvaje.
Detectar CVE-2022-30333
Para minimizar el posible impacto de la brecha en su organización, utilice la siguiente regla Sigma lanzada por un equipo de Ingenieros de Caza de Amenazas de SOC Prime:
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender para Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetWitness, Snowflake, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
The La regla Sigma anterior está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Persistencia y la técnica de Componente de Software de Servidor (T1505).
Los usuarios no registrados pueden explorar la colección de reglas Sigma disponibles a través del Motor de Búsqueda, una tienda integral para inteligencia de amenazas y contenido SOC. Presiona el Explorar Contexto de Amenazas botón para llevar tu rutina de detección al siguiente nivel.
Los profesionales de SOC son bienvenidos a registrarse en la Plataforma SOC Prime y obtener un plan de suscripción Comunidad gratuita. Pulse el Detectar & Cazar para acceder a una colección exhaustiva de algoritmos de detección alineados con más de 26 soluciones SIEM, EDR y XDR.
Detectar & Cazar Explorar Contexto de Amenazas
Descripción de CVE-2022-30333
El análisis del problema CVE-2022-30333 apareció por primera vez en la investigación compartida por SonarSource en junio de 2022. Basado en los ataques observados, los adversarios aprovechan esta vulnerabilidad de Escritura de Archivo para ataques RCE para comprometer un servidor de correo electrónico Zimbra, con más de 62,000 hosts expuestos a Internet. La falla permite a un actor de amenaza escribir en archivos durante una operación de extracción. Dado que un intento de explotación fue exitoso, un actor de amenaza obtiene acceso a todos los correos electrónicos almacenados en un servidor de correo electrónico comprometido. Este nivel de acceso con alta probabilidad resulta en más explotaciones y acceso a datos más sensibles.
RarLab ha lanzado un parche oficial para abordar la falla de seguridad. La solución está incluida con los binarios de la versión 6.12 (versión de código abierto 6.1.7), disponible para su descarga desde el sitio web oficial del proveedor. Según el proveedor, todas las versiones de WinRAR no se ven afectadas por esta falla.
Regístrese en la plataforma de SOC Prime para acceder al vasto conjunto de algoritmos de detección verificados con traducciones a más de 26 formatos SIEM, EDR y XDR específicos de proveedores. La detección precisa y oportuna es clave para organizar un SOC eficiente 24/7/365 mientras sus ingenieros pueden asumir tareas más avanzadas.
