Detección de CVE-2022-31672: Explotación de Ejecución Remota de Código Pre-Authenticated Usando Vulnerabilidades Corregidas en VMware vRealize Operations Management Suite

Las fallas de seguridad en los productos de VMware que pueden ser aprovechadas en ataques de cadena de explotación han estado en el centro de atención en el ámbito de las amenazas cibernéticas desde mayo de 2022, cuando CISA emitió una alerta advirtiendo de vulnerabilidades conocidas de ejecución remota de código (RCE) y escalamiento de privilegios. El 9 de agosto de 2022, VMware parcheó otro conjunto de vulnerabilidades que podrían encadenarse en un exploit de RCE pre-autenticado para VMware vRealize Operations Manager Suite (vROPS). VMware también emitió el aviso relacionado identificado como VMSA-2022-0022, cubriendo los detalles de estas fallas de seguridad. Las vulnerabilidades en el aviso VMSA-2022-0022 que pueden ser utilizadas en la cadena de explotación incluyen el bypass de autenticación de UI en MainPortalFilter (CVE-2022-31675), la divulgación de información de SupportLogAction (CVE-2022-31674), y el escalamiento de privilegios en generateSupportBundle VCOPS_BASE (CVE-2022-31672). Cada problema de seguridad individual tiene un impacto de bajo nivel de severidad, sin embargo, encadenadas juntas otorgan a un atacante no autenticado la capacidad de ejecutar código malicioso en las instancias afectadas.

Detección de CVE-2022-31672: La Segunda Parte de la Cadena de Explotación

Las vulnerabilidades descubiertas en productos populares aprovechados por miles de organizaciones globales pueden representar una amenaza grave cuando se encadenan juntas. La plataforma Detection as Code de SOC Prime selecciona una regla Sigma para detectar una vulnerabilidad de escalamiento de privilegios identificada como CVE-2022-31672, que se utiliza en la segunda parte de la cadena de exploits RCE cubierta en el aviso VMSA-2022-0022 de VMware. Los practicantes de ciberseguridad pueden seguir el enlace a continuación para obtener acceso al algoritmo de detección dedicado creado por los desarrolladores de contenido del equipo de SOC Prime:

Posibles Patrones de Escalamiento de Privilegios en VMWare vRealize [CVE-2022-31672] (vía cmdline)

Esta regla Sigma puede aplicarse a lo largo de 19 tecnologías SIEM, EDR y XDR, incluidas las soluciones nativas de nube y locales líderes en la industria. Para obtener una visibilidad de amenazas mejorada y aumentar la efectividad de la ciberseguridad, la detección está alineada con el marco MITRE ATT&CK® abordando las tácticas de Ejecución y Evasión de Defensa con las técnicas adversarias correspondientes de Comando e Intérprete de Scripts (T1059) y Secuestro del Flujo de Ejecución (T1574). Los practicantes de ciberseguridad también pueden aplicar esta regla Sigma para buscar instantáneamente amenazas relacionadas aprovechando la cadena de explotación que afecta a los productos VMware con el módulo Quick Hunt de SOC Prime.

Para detectar amenazas actuales y emergentes que afectan a productos populares de VMware, los practicantes de ciberseguridad están invitados a aprovechar la lista completa de reglas Sigma dedicadas disponibles en la plataforma de SOC Prime. Haga clic en el botón Detect & Hunt a continuación para acceder a esta amplia colección de alertas relevantes de alta fidelidad y consultas de búsqueda verificadas y mantenerse por delante de los atacantes. ¿Está buscando un contexto de amenaza cibernética profundo al alcance de la mano? Explore SOC Prime para amenazas relacionadas con VMware e inmediatamente profundice en la información contextual integral con enlaces de MITRE ATT&CK, referencias de CTI y una lista de reglas Sigma relevantes.

botón Detect & Hunt Explorar Contexto de Amenaza

Cadena de Explotación que Afecta a VMware vRealize Operations Manager: Análisis del Ataque

El 9 de agosto de 2022, VMware emitió un aviso VMSA-2022-0022 cubriendo un conjunto de vulnerabilidades encontradas en su suite vRealize Operations Manager (vROPS) que afecta a la versión del producto 8.6.3. Las fallas de seguridad reveladas incluyen la vulnerabilidad de escalamiento de privilegios identificada como CVE-2022-31672, las vulnerabilidades de divulgación de información CVE-2022-31673 y CVE-2022-31674, y la vulnerabilidad de bypass de autenticación CVE-2022-31675. VMware también ha lanzado parches relevantes para remediar las vulnerabilidades descubiertas en los productos VMware afectados. También se recomienda a las organizaciones que actualicen a la versión corregida de VMware vROPS 8.6.4 para mitigar la amenaza.

Notablemente, cada una de las vulnerabilidades descubiertas puede considerarse bastante moderada en términos de severidad e impacto según su puntuación CVSS (que varía de 5.6 a 7.2) si se explota por sí sola, sin embargo, cuando se encadenan juntas, su impacto es mucho más destructivo. El investigador de ciberseguridad Steven Seeley del Instituto de Investigación de Vulnerabilidades Qihoo 360, que reportó el problema a VMware, liberó el exploit PoC en GitHub llamado “DashOverride,” encadenando tres de las vulnerabilidades parcheadas mencionadas anteriormente (CVE-2022-31675, CVE-2022-31674 y CVE-2022-31672). Según el dedicado investigación de ciberseguridad en el blog de Source Incite, estas fallas de seguridad pueden llevar a una cadena de explotación remota raíz pre-autenticada, que podría exponer a miles de organizaciones a riesgos severos.

La cadena de explotación comienza aprovechando la vulnerabilidad CVE-2022-31675, que permite a un atacante aplicar un id de enlace de panel válido para eludir la autenticación. Los actores de amenazas también pueden beneficiarse de esta falla de seguridad vinculado a un tercero a un sitio web malicioso, que puede instalar una puerta trasera en la aplicación con un usuario con privilegios de administrador. Otra vulnerabilidad de divulgación de información CVE-2022-31674 aparece en la cadena de explotación al abusar del administrador Pak válido responsable de escribir contraseñas sensibles en los archivos de registro.

La segunda parte de la cadena de explotación involucra el aprovechamiento de la vulnerabilidad de escalamiento de privilegios CVE-2022-31672, que permite a los usuarios con pocos privilegios ejecutar el script ejecutable como root. Para asegurar que la explotación funcione, los actores de amenazas necesitan configurar la variable de entorno antes de llamar a un script para el escalamiento de privilegios.

Los volúmenes crecientes de cadenas de explotación que afectan a productos populares utilizados por múltiples organizaciones en todo el mundo representan un desafío urgente para los defensores cibernéticos. La plataforma Detection as Code de SOC Prime permite a los practicantes de ciberseguridad detectar proactivamente intentos de explotación y mitigar oportunamente las amenazas de cualquier escala y sofisticación, aprovechando el poder de la defensa cibernética colaborativa. Los cazadores de amenazas e ingenieros de detección que buscan avanzar en su carrera también pueden unirse al Programa de Recompensas de Amenazas para la contribución de contenido colaborativo para autorizar algoritmos de detección de alta calidad, compartirlos con sus pares de la industria y monetizar sus habilidades de forma recurrente.