CVE-2021-22941 : Vulnérabilité d’exécution de code à distance Citrix ShareFile exploitée par PROPHET SPIDER
Table des matières :
Un courtier d’accès initial notoire, PROPHET SPIDER, a été découvert en train d’exploiter la vulnérabilité CVE-2021-22941 pour accéder illégalement à un serveur web Microsoft Internet Information Services (IIS). Les cybercriminels visent à infiltrer les systèmes de sécurité des organisations pour bloquer les données sensibles puis vendre l’accès à des groupes de ransomware.
Exploiter la vulnérabilité de parcours de chemin susmentionnée permet aux adversaires de livrer une webshell qui téléchargerait d’autres charges utiles. PROPHET SPIDER peut également obtenir un accès initial via une vulnérabilité renommée Log4j.
Explorez les détections les plus récentes effectuées par les développeurs de SOC Prime Threat Bounty et détectez l’activité de PROPHET SPIDER avant qu’ils n’accèdent à vos réseaux.
Détection CVE-2021-22941
Pour détecter les possibles attaques de PROPHET SPIDER contre vos systèmes, consultez la liste des règles de détection ci-dessous. Notre contenu couvre à la fois les exploits des vulnérabilités Citrix ShareFile et Log4j dans VMware.
Pour atténuer l’activité malveillante associée à PROPHET SPIDER, il est important d’éviter les failles d’accès initiales exploitées par cet acteur menaçant. Nous vous encourageons à détecter et traiter non seulement une vulnérabilité RCE (CVE-2021-22941) mais aussi les vulnérabilités Log4j dans VMware Horizon étiquetées CVE-2021-44228, CVE-2021-45046 et CVE-2021-44832.
PROPHET SPIDER Exploite la Vulnérabilité RCE de Citrix ShareFile (Post-exploitation)
Les règles sont fournies par nos développeurs Threat Bounty Emir Erdogan, Aytek Aytemur, et Nattatorn Chuensangarun.
Les experts en cybersécurité sont plus que bienvenus pour rejoindre le programme Threat Bounty afin de tirer parti de la puissance de la communauté et être récompensés pour leur contenu de détection des menaces.
Voir les Détections Rejoindre Threat Bounty
Détails de l’Exploitation de CVE-2021-22941
La webshell déployée par les adversaires utilise des vulnérabilités connues du serveur web pour télécharger des outils de ransomware. Les spécifications supplémentaires des charges utiles de deuxième étape peuvent varier car les attaquants peuvent choisir lesquelles utiliser selon leur motivation. Les charges observées le plus souvent incluent l’extorsion, les ransomwares et le minage de crypto-monnaie.
L’acteur menaçant PROPHET SPIDER opère depuis au moins mai 2017. Ils ont pu accéder aux systèmes des victimes en exploitant des vulnérabilités connues dans les serveurs web. La dernière activité semble similaire, à l’exception d’une variété de charges utiles de deuxième étape.
Les dernières vulnérabilités connues fréquemment exploitées par PROPHET SPIDER incluent :
- CVE-2021-22941 — affecte Citrix ShareFile Storage Zones Controller pour accéder à un serveur web Microsoft IIS
- CVE-2021-44228, CVE-2021-45046, et CVE-2021-44832 — affectent les vulnérabilités Log4j connues dans VMware Horizon
Une fois l’accès obtenu à un serveur ciblé, les attaquants écrasent les fichiers existants à l’aide de paramètres téléchargés passés dans une requête HTTP GET. Ensuite, ils bloquent les données des organisations pour les revendre à d’autres acteurs de ransomware.
Les techniques et sous-techniques MITRE ATT&CK suivantes peuvent être tracées dans cette exploitation :
- Accès Initial (T1190)
- Exécution (T1059.001)
- Persistance (T1505.003)
- Commande et Contrôle (T1071)
- Transfert d’Outils Ingress (T1105)
Le contenu de détection créé par les contributeurs de crowdsourcing de SOC Prime inclut des détections basées sur le comportement mappées à ces TTP.
Améliorez vos opérations SOC quotidiennes grâce à la puissance de notre communauté mondiale d’experts en détection de menaces expérimentés contribuant continuellement à la plateforme Detection as Code de SOC Prime. Les APT modernes continuent d’étendre leurs réseaux, par conséquent, faire face aux menaces cybernétiques en constante augmentation est à peine possible si l’organisation est isolée dans son propre environnement. Rejoignez notre plateforme pour rester informé et détecter les cyberattaques dès que possible.
