CVE-2022-22960 et CVE-2022-22954 Détection : La CISA Avertit des Tentatives d’Exploitation des Vulnérabilités VMware Non Corrigées
Table des matières :
Le 18 mai 2022, la CISA a émis un avis avertissant les organisations des tentatives potentielles d’exploitation des vulnérabilités connues dans les produits VMware suivis comme CVE-2022-22954 et CVE-2022-22960. Une fois exploitées, les failles révélées donnent feu vert aux acteurs malveillants pour effectuer des injections de modèles malveillants côté serveur. Plus spécifiquement, l’exploitation du CVE-2022-22954 peut entraîner une exécution de code à distance, tandis que la faille CVE-2022-22960 peut être utilisée pour une élévation de privilèges. Ce qui double les risques, c’est le fait que les bugs VMware nouvellement découverts peuvent être une source d’attaques par enchaînement d’exploits.
Détecter les Tentatives d’Exploitation des CVE-2022-22954 et CVE-2022-22960
Pour détecter les schémas d’exploitation liés à la faille VMware CVE-2022-22954, la plateforme Detection as Code de SOC Prime propose un lot de règles Sigma dédiées :
Règles Sigma pour détecter les tentatives d’exploitation CVE-2022-22954
En outre, les professionnels de la cybersécurité peuvent accéder à la règle Sigma nouvellement publiée pour la détection de CVE-2022-22960 créée par notre développeur passionné du Threat Bounty Sittikorn Sangrattanapitak:
Pour accéder à ces règles Sigma organisées, assurez-vous de vous connecter ou de vous inscrire à la plateforme pour une expérience de détection des plus fluides. Toutes les détections sont alignées sur le cadre MITRE ATT&CK® pour fournir une visibilité pertinente des menaces et sont disponibles pour la majorité des solutions SIEM, EDR et XDR prises en charge par la plateforme SOC Prime.
Pour détecter les tentatives d’exploitation de multiples vulnérabilités connues impactant les produits VMware, explorez la vaste collection d’algorithmes de détection disponibles sur la plateforme SOC Prime. Cliquez sur le Voir les Détections bouton pour accéder au kit de règles dédié. Les experts en cybersécurité cherchant à faire la différence et à enrichir la bibliothèque de contenu de détection avec leurs propres contributions sont invités à rejoindre le Programme Threat Bounty et à avoir la chance de transformer leurs compétences professionnelles en avantages financiers récurrents.
Voir les Détections Rejoindre Threat Bounty
Analyse des Vulnérabilités VMware
VMware a publié des mises à jour pour les deux CVE-2022-22954 et CVE-2022-22960 il y a un mois, ce qui n’a pas empêché les acteurs malveillants d’exploiter rapidement les failles révélées dans des instances VMware non corrigées dans les 48 heures suivant le lancement des mises à jour connexes. Selon la BOD 22-01 de la CISA, les organismes fédéraux ont été incités à prendre des mesures immédiates pour mettre en œuvre d’urgence les mises à jour des vulnérabilités mentionnées ci-dessus afin de minimiser les risques pour la sécurité.
D’après l’information issue du dernier Avis de Cybersécurité, CVE-2022-22954 et CVE-2022-22960 peuvent être enchaînés ensemble pour obtenir le contrôle total du système. L’une des victimes a rapporté que des adversaires ont d’abord exploité CVE-2022-22954 pour exécuter une commande shell arbitraire et ont ensuite tiré parti de la deuxième faille VMware dans l’enchaînement des exploits pour une élévation de privilèges. En obtenant un accès root, les attaquants pouvaient effacer les journaux, élever les autorisations et appliquer un mouvement latéral pour prendre davantage le contrôle du système compromis. En outre, les chercheurs en cybersécurité ont observé un autre incident avec l’abus de CVE-2022-22954 pour continuer de propager un webshell malveillant Dingo J-spy.
Les chercheurs en cybersécurité ont précédemment observé un couple d’autres vulnérabilités critiques révélées dans le VMware vCenter. En février 2021, une faille d’exécution de code à distance suivie comme CVE-2021-21972 avec un score CVSS de 9,8 a été identifiée dans le plugin du serveur vCenter. Une fois divulguée, cette vulnérabilité critique a été signalée pour mener à un balayage massif d’instances compromises avec le PoC disponible sur GitHub le lendemain de sa découverte.
Plus tard en 2021, une autre vulnérabilité critique identifiée comme CVE-2021-22005 a été identifiée dans le serveur VMware vCenter. La faille a été exploitée publiquement dans la nature et en raison de l’exposition d’une large gamme d’infrastructures critiques à des risques élevés, la CISA a publié un avis dédié énumérant les mesures d’atténuation correspondantes.
Quant aux mesures d’atténuation en réponse à l’exploitation des CVE-2022-22954 et CVE-2022-22960, les produits VMware affectés doivent être immédiatement mis à jour vers la dernière version. De plus, pour minimiser les risques d’attaques par enchaînement d’exploits connexes, il est recommandé aux organisations de supprimer les versions de logiciel affectées de leurs systèmes.
Les organisations progressistes cherchant à rester en avance peuvent tirer le meilleur parti de la solution de SOC Prime visant à aider les équipes à maximiser la valeur de leurs investissements en matière de sécurité. En rejoignant la plateforme Detection as Code de SOC Prime, les experts en sécurité peuvent voir comment ils peuvent bénéficier de capacités de défense cybernétique accélérées.
