Detectar CVE-2021-39144: Vulnerabilidad crítica de ejecución remota de código en VMware Cloud Foundation a través de la biblioteca de código abierto XStream
Tabla de contenidos:
Otro día, otro exploit surge en el entorno para causar dolores de cabeza a los profesionales de seguridad. VMware advierte sobre un código de exploit público disponible para una vulnerabilidad crítica de ejecución remota de código (RCE) recientemente parcheada (CVE-2021-39144) en VMware Cloud Foundation y NSX Manager. Aprovechando este fallo, actores de amenazas no autenticados podrían ejecutar código malicioso con los más altos privilegios del sistema, sin necesidad de interacción del usuario.
Detección CVE-2021-39144
Con un código de exploit público disponible, una vulnerabilidad con severidad de 9.8/10 plantea una amenaza crítica para organizaciones en todo el mundo. Para proteger la infraestructura de su organización y detectar actividades potencialmente maliciosas en las primeras etapas de ataque, obtenga una versión de regla Sigma por nuestro entusiasta desarrollador de Threat Bounty Wirapong Petshagun.
Las detecciones son compatibles con 18 tecnologías SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® abordando las tácticas de Acceso Inicial, con Exploit Public-Facing Applications (T1190) como la técnica correspondiente.
Únase a nuestro Programa de Threat Bounty para monetizar su contenido exclusivo de detección mientras codifica su futuro CV y perfecciona sus habilidades de ingeniería de detección. Publicado en el mercado más grande del mundo de detección de amenazas y explorado por 7,000 organizaciones a nivel global, sus reglas Sigma pueden ayudar a detectar amenazas emergentes y hacer del mundo un lugar más seguro mientras otorgan beneficios financieros recurrentes.
Presione el botón Explorar Detecciones para acceder instantáneamente a las reglas Sigma para CVE-2021-39144, enlaces CTI correspondientes, referencias ATT&CK e ideas de caza de amenazas.
Análisis CVE-2021-39144
La vulnerabilidad crítica en VMware Cloud Foundation (CVE-2021-39144) ocurre debido a una configuración incorrecta en la biblioteca de código abierto XStream. Según el asesoramiento de VMware, un punto final no autenticado que utiliza XStream para la serialización de entrada en VMware Cloud Foundation (NSX-V) permite RCE pre-autenticado con privilegios de root. El error afecta a las versiones 3.11 y anteriores de Cloud Foundation, mientras que las versiones 4.x se consideran seguras.
La vulnerabilidad recibió la calificación de severidad más alta de 9.8 sobre 10 y fue inmediatamente parcheada por el proveedor el 25 de octubre de 2022. Notablemente, aunque VMware terminó el soporte general para NSX-V en enero de 2022, un parche se puso a disposición para productos al final de su vida útil. También se publicaron directrices para instruir a los clientes sobre cómo actualizar los dispositivos NSX-V 6.4.14 en Cloud Foundation 3.x. Se insta a los usuarios a actualizar lo antes posible, ya que la disponibilidad de un código de exploit público presume una avalancha de ataques en el entorno similar al brote de Log4Shell .
Mejore sus capacidades de detección de amenazas y acelere la velocidad de caza de amenazas equipado con Sigma, MITRE ATT&CK, y Detección como Código para siempre tener algoritmos de detección curados contra cualquier TTP adversario o cualquier vulnerabilidad explotable a mano. Obtenga 800 reglas para CVEs existentes para defender proactivamente contra las amenazas que más importan. Alcance instantáneamente 140+ reglas Sigma gratis o obtenga todos los algoritmos de detección relevantes bajo demanda en https://my.socprime.com/pricing/.
