Detección de Explotación CVE-2022-41974, CVE-2022-41973, CVE-2022-3328: Tres Vulnerabilidades en Linux Encadenadas para Obtener Privilegios de Root Completo
Tabla de contenidos:
Los expertos en seguridad de la Unidad de Investigación de Amenazas de Qualys advierten sobre una nueva vulnerabilidad (CVE-2022-3328) en Snapd, una herramienta de gestión de software popular para Linux, que podría ser explotada para la escalada de privilegios locales y la ejecución de código arbitrario. El problema de seguridad en el centro de atención puede estar encadenado con vulnerabilidades antiguas reveladas en multipathd (CVE-2022-41973 & CVE-2022-41974) para escalar privilegios a root en sistemas Linux.
Dectección de intentos de explotación de CVE-2022-41974, CVE-2022-41973, CVE-2022-3328
Dado que la cadena de explotación representa un riesgo significativo para los sistemas Linux, los expertos en seguridad necesitan una fuente confiable de contenido de detección para identificar cualquier ataque contra el entorno organizacional en las primeras etapas de su desarrollo. El equipo de SOC Prime ha lanzado un conjunto de reglas Sigma que detectan intentos de explotación de CVE-2022-3328, CVE-2022-41973 y CVE-2022-41974:
Esta regla detecta patrones de explotación de condición de carrera en Snap-confine’s must_mkdir_and_open_with_perms() basado en seguridad investigación de Qualys. La detección se puede utilizar en 18 tecnologías SIEM, EDR y XDR y está alineada con el marco MITRE ATT&CK® abordando la táctica de Esclada de Privilegios con la técnica correspondiente de Explotación para Esclada de Privilegios (T1068).
Cadena de explotación posible de CVE-2022-41974 y CVE-2022-41973 [multipathd] (vía auditd)
Cadena de explotación posible de CVE-2022-41974 y CVE-2022-41973 [multipathd] (vía file_event)
Las reglas anteriores detectan patrones de explotación de omisión de autorización también conocidos como ataques de enlace simbólico en multipathd (creación de enlaces simbólicos) y también están basadas en la investigación de Qualys. Las detecciones se pueden aplicar en 18 tecnologías SIEM, EDR y XDR y están alineadas con ATT&CK abordando la táctica de Esclada de Privilegios con la técnica correspondiente de Explotación para Esclada de Privilegios (T1068).
¿Desea unirse a las fuerzas de defensa cibernética colectiva y ganar dinero mientras hace del mundo un lugar más seguro? Regístrese en nuestro Programa de Recompensas de Amenazas, publique reglas Sigma exclusivas en el mercado de detección de amenazas más grande, perfeccione sus habilidades de ingeniería de detección y conéctese con expertos de la industria mientras recibe beneficios financieros por su aporte.
Pulse el botón Explorar Detecciones para revisar la extensa lista de reglas Sigma que cubren casos de uso de Linux. Acceda al contenido de detección para amenazas relacionadas con Linux, acompañadas de enlaces CTI, referencias ATT&CK e ideas de caza de amenazas.
Cadena de Explotación de Vulnerabilidades de Linux: Análisis de Ataque de Alto Impacto
Durante el periodo de 2021-2022, ha habido un aumento significativo en el consumo de contenido de detección para amenazas de Linux, lo que apunta a una necesidad urgente de protección de terminales contra ciberataques emergentes que afectan a entornos basados en Linux.
El equipo de Investigación de Qualys descubrió anteriormente dos vulnerabilidades en Linux multipathd denominadas “Leeloo Multipath” que pueden llevar a una omisión de autorización y ataques de enlace simbólico. El demonio multipathd es una utilidad diseñada para verificar caminos fallidos que se ejecutan como root en la instalación predeterminada de sistemas operativos Linux como Ubuntu Server.
Las fallas mencionadas anteriormente pueden encadenarse juntas con una tercera vulnerabilidad recién descubierta, lo que puede implicar riesgos mucho mayores para la ciberseguridad. La explotación exitosa de las tres vulnerabilidades puede permitir a los atacantes obtener privilegios completos de root en sistemas Linux comprometidos.
Las fallas descubiertas anteriormente están catalogadas como CVE-2022-41974 y CVE-2022-41973, siendo la primera la que lleva a la omisión de autorización (puntuación CVSS 7.8) y la última pudiendo causar potencialmente un ataque de enlace simbólico (puntuación CVSS 7.0). Ambas vulnerabilidades, sin importar cómo sean explotadas — solas o encadenadas — pueden llevar a una escalada local de privilegios a root.
El nuevo error de seguridad catalogado como CVE-2022-3328 afecta la función Snap-confine en sistemas operativos Linux, aplicada por Snapd para construir el entorno de ejecución para aplicaciones Snap. Actualmente, no hay mitigaciones disponibles para CVE-2022-3328. Aunque la vulnerabilidad no puede ser armada remotamente, los riesgos de sus intentos de explotación están aumentando, siempre y cuando los actores de amenazas inicien sesión como usuarios sin privilegios permitiéndoles obtener privilegios de root. Este fallo de seguridad fue introducido en febrero de 2022 por el parche para otra vulnerabilidad de condición de carrera de Snapd catalogada como CVE-2021-44731. Los defensores cibernéticos recomiendan encarecidamente aplicar el parche para esta vulnerabilidad para defender proactivamente contra posibles intrusiones.
Vulnerabilidades fáciles de explotar en aplicaciones de software populares están exponiendo a miles de empresas globales a riesgos reputacionales, por lo tanto, la detección proactiva de la explotación de vulnerabilidades ocupa una de las principales posiciones entre las prioridades de contenido de SOC. Alcance 700 algoritmos de detección para CVEs actuales y existentes aprovechando la defensa cibernética colectiva — obtenga más de 120 reglas Sigma gratis en https://socprime.com/ o la pila de detección completa bajo demanda en https://my.socprime.com/pricing/. Aproveche nuestra oferta de Cyber Monday para adquirir hasta 200 reglas Sigma premium adicionales de su elección antes del final de 2022.
