CVE-2022-29799 et CVE-2022-29800 Détection : Nouvelles Vulnérabilités d’Escalade de Privilèges dans le Système d’Exploitation Linux Connues comme Nimbuspwn

Le 26 avril, l’équipe de recherche de Microsoft 365 Defender a découvert un couple de vulnérabilités inédites collectivement baptisées Nimbuspwn, permettant aux adversaires d’acquérir des privilèges élevés sur plusieurs environnements de bureau Linux. Les nouvelles failles Nimbuspwn détectées ont été identifiées comme CVE-2022-29799 et CVE-2022-29800.

Une fois enchaînées, ces failles permettent aux hackers d’obtenir les privilèges root, de déployer des charges utiles et de compromettre davantage les systèmes Linux via l’exécution de code root arbitraire. De plus, l’activité potentiellement malveillante peut être amplifiée via ces nouvelles vulnérabilités Nimbuspwn, exposant les environnements Linux compromis à des menaces plus avancées, y compris des attaques par ransomware.

Détection CVE-2022-29799 et CVE-2022-29800 : Nimbuspwn

Pour fournir de la visibilité sur les menaces liées aux vulnérabilités Nimbuspwn récemment découvertes suivies comme CVE-2022-29799 et CVE-2022-29800, l’équipe SOC Prime a livré une règle Sigma dédiée disponible sur la plateforme SOC Prime. Les praticiens de la sécurité sont invités à s’inscrire à la plateforme ou à se connecter avec les identifiants existants pour accéder à cette règle :

Activité potentielle LPE Nimbuspwn (via process_creation)

Cette détection peut être utilisée sur 20 solutions SIEM, EDR et XDR et est alignée avec la dernière version du cadre MITRE ATT&CK® pour une meilleure visibilité des TTP des adversaires, abordant la tactique d’escalade de privilèges et la technique correspondante d’exploitation pour l’escalade de privilèges (T1068).

Pour maintenir les SIEMs et autres solutions de sécurité constamment à jour sur le contenu SOC en temps quasi réel, les équipes sont invitées à explorer la pile de détection complète disponible sur la plateforme SOC Prime en cliquant sur le bouton Voir les détections . Pour les passionnés de cybersécurité qui aspirent à renforcer la capacité de défense cybernétique par contribution à une initiative de crowdsourcing, rejoindre le Programme Threat Bounty peut être un excellent point de départ pour développer des compétences en cyber chasse et développement de contenu et collaborer pour un avenir numérique plus sûr.

Voir les détections Rejoindre le Threat Bounty

Aperçu de Nimbuspwn

Selon une enquête de Microsoft, les chercheurs ont révélé un ensemble de failles de sécurité lors de l’inspection d’un composant systemd baptisé networkd-dispatcher au sein d’un mécanisme populaire de communication inter-processus D-Bus (IPC). En particulier, ils ont identifié un problème de traversée de répertoire (CVE-2022-29799) ainsi que des erreurs de course de symlink et de vérification à l’utilisation (CVE-2022-29800) qui pourraient être enchaînées pour acquérir des privilèges root sur les systèmes Linux et exécuter des portes dérobées dans les environnements compromis.

Pour atténuer les menaces potentielles associées aux tentatives d’exploitation des vulnérabilités Nimbuspwn, les utilisateurs de networkd-dispatcher sont invités à mettre à jour leurs instances vers les dernières versions logicielles. En outre, les organisations progressistes qui s’efforcent d’améliorer leur posture de cybersécurité devraient prendre des mesures pour surveiller constamment leurs environnements en raison des risques élevés de nouvelles failles découvertes sur les systèmes Linux.

La mise en œuvre d’une approche proactive de gestion des vulnérabilités peut aider les organisations à révéler en temps opportun et à atténuer les menaces et exploits qui étaient auparavant inconnus. Tirer parti de la plateforme Detection as Code de SOC Prime permet aux équipes de détecter les menaces aux premiers stades du cycle de vie de l’attaque tout en accélérant continuellement les capacités de défense cybernétique.