CVE-2022-30333 Détection : Nouvelle faille de sécurité dans l’utilitaire UnRAR

L’Agence de sécurité des infrastructures critiques des États-Unis (CISA) élargit son catalogue de vulnérabilités exploitées connues en documentant plusieurs nouvelles failles de traversée de répertoires activement exploitées. Les failles en question sont une faille d’exécution de code à distance (RCE) étiquetée CVE-2022-34713 et une vulnérabilité de traversée de chemin répertoriée sous CVE-2022-30333. Microsoft a reconnu qu’une vulnérabilité CVE-2022-34713 est une variante de la Follina-like DogWalk vulnérabilité de traversée de chemin dans l’outil de diagnostic de support Microsoft Windows révélée plus tôt cet été.

Une autre faille suivie sous le nom CVE-2022-30333 réside dans les versions Linux et Unix de l’utilitaire UnRAR. Les adversaires déclenchent la vulnérabilité en incitant les victimes à ouvrir une archive RAR armée.

Les deux failles de haute gravité sont exploitées à l’état sauvage.

Détecter CVE-2022-30333

Pour minimiser l’impact potentiel de la violation sur votre organisation, utilisez la règle Sigma suivante publiée par une équipe d’ingénieurs en chasse aux menaces appartenant à SOC Prime:

Téléchargement de fichier JSP suspect après configuration du service AV sur le serveur de messagerie Zimbra (via file_event)

Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetWitness, Snowflake, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

The Règle Sigma ci-dessus est alignée avec le cadre MITRE ATT&CK® v.10, abordant la tactique de Persistance et la technique du Composant Logiciel Serveur (T1505).

Les utilisateurs non enregistrés peuvent parcourir la collection de règles Sigma disponibles via le moteur de recherche – un guichet unique pour l’intelligence sur les menaces et le contenu SOC. Appuyez sur le Explorer le contexte des menaces bouton pour faire passer votre routine de détection au niveau supérieur.

Les professionnels SOC sont invités à s’inscrire sur la plateforme SOC Prime et obtenir un plan d’abonnement communautaire gratuit. Appuyez sur Détecter & Chasser pour accéder à une collection exhaustive d’algorithmes de détection alignés avec plus de 26 solutions SIEM, EDR et XDR.

Détecter & Chasser Explorer le contexte des menaces

Description CVE-2022-30333

L’analyse du problème CVE-2022-30333 est apparue pour la première fois dans la recherche partagée par SonarSource en juin 2022. Basé sur les attaques observées, les adversaires exploitent cette vulnérabilité d’écriture de fichiers pour des attaques RCE pour compromettre un serveur de messagerie Zimbra, avec plus de 62 000 hôtes exposés à Internet. La faille permet à un acteur malveillant d’écrire dans des fichiers pendant une opération d’extraction. Si une tentative d’exploitation réussit, un acteur malveillant reçoit l’accès à tous les emails stockés sur un serveur de messagerie compromis. Ce niveau d’accès conduit avec une forte probabilité à d’autres exploits et l’accès à des données plus sensibles.

RarLab a publié un correctif officiel pour remédier à la faille de sécurité. La correction est incluse avec les fichiers binaires de la version 6.12 (version open source 6.1.7), disponible en téléchargement sur le site Web officiel du fournisseur. Selon le fournisseur, toutes les versions de WinRAR ne sont pas affectées par cette faille.

Inscrivez-vous sur la plateforme de SOC Prime pour accéder au vaste pool d’algorithmes de détection vérifiés avec des traductions vers plus de 26 formats SIEM, EDR et XDR spécifiques aux fournisseurs. Une détection précise et opportune est essentielle pour organiser efficacement un SOC 24/7/365 tout en permettant à vos ingénieurs de s’acquitter de tâches plus avancées.