Détection CVE-2022-22954 : Vulnérabilité Critique Prépare le Terrain pour des Attaques RCE
Table des matières :
La semaine dernière, VMware a publié un avis exhortant les utilisateurs à corriger huit vulnérabilités de divers niveaux de gravité. Les bugs non corrigés permettent la compromission des produits VMware suivants : VMware Workspace ONE Access, Identity Manager (vIDM), vRealize Automation (vRA), Cloud Foundation, et Suite Lifecycle Manager. La proie la plus facile sur la liste de menaces avec un score CVSS de 9.8 est une vulnérabilité d’exécution de code à distance par injection de modèle côté serveur suivie sous le nom CVE-2022-22954.
Détecter CVE-2022-22954
Les adversaires peuvent lancer des attaques en exploitant CVE-2022-22954 pour réaliser une injection de modèle côté serveur Freemarker sur VMware Workspace ONE Access. Utilisez la Sigma règle ci-dessous développée par les talentueux membres de la Équipe SOC Prime pour suivre en temps opportun toute activité suspecte pertinente dans votre système :
Tentative d’exploitation possible de VMWare CVE-2022-22954 (via serveur web)
Cette détection est disponible pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch.
La règle est alignée avec la dernière version du cadre MITRE ATT&CK® v.10, abordant la tactique d’accès initial avec l’exploitation d’application publique (T1190) comme technique principale.
Suivez les mises à jour du contenu de détection lié à CVE-2022-22954 dans le référentiel du Threat Detection Marketplace sur la plateforme SOC Prime ici.
Êtes-vous un développeur expérimenté de contenu de détection de menaces ? Profitez de la puissance de la plus grande communauté de cyberdéfense au monde alimentée par le Threat Bounty Program, partagez votre contenu de détection et gagnez des récompenses récurrentes pour votre précieuse contribution.
Voir les détections Rejoindre Threat Bounty
Analyse de CVE-2022-22954
La vulnérabilité critique d’exécution de code à distance, suivie sous le nom CVE-2022-22954, se trouve dans VMware Workspace ONE Access et Identity Manager. Le bug n’est pas sans précédent : fin septembre 2022, CVE-2021-22005 a permis aux adversaires d’attaquer les systèmes vulnérables avec des attaques RCE, atteignant des privilèges root et atteignant le vCenter Server sur le réseau. La nouvelle faille RCE permet aux adversaires ayant accès au réseau une injection de modèle côté serveur qui peut mener à une exécution de code à distance. Pour plus de détails sur l’exploitation, voir CVE-2022-22954 PoC.
Correctifs VMware, publiés le 6 avril 2022, traitent un certain nombre de problèmes de sécurité dans les produits VMware de divers niveaux de gravité, y compris cinq critiques. Pour une atténuation réussie de CVE-2022-22954, tous les utilisateurs des produits VMware concernés sont fortement conseillés d’appliquer les derniers correctifs ou d’examiner les solutions de contournement disponibles sans délai supplémentaire.
Rejoindre la plateforme Detection as Code de SOC Prime pour optimiser vos capacités de chasse et accéder au plus grand pool de contenu de détection en direct créé par les leaders de l’industrie. Enthousiaste à l’idée de contribuer à la communauté mondiale de la cybersécurité en enrichissant la plateforme Detection as Code avec votre propre contenu de détection ? Rejoignez notre Threat Bounty Program pour un avenir plus sûr !
