Détection CVE-2022-31672 : Exploitation de l’exécution de code à distance pré-authentifiée utilisant des vulnérabilités corrigées dans VMware vRealize Operations Management Suite

Les failles de sécurité dans les produits VMware, qui peuvent être exploitées dans des attaques en chaîne, sont sous les feux de la rampe dans le domaine des cybermenaces depuis mai 2022, lorsque la CISA a émis une alerte avertissant des vulnérabilités connues d’exécution de code à distance (RCE) et d’élévation de privilèges. Le 9 août 2022, VMware a corrigé un autre ensemble de vulnérabilités qui pourraient être enchaînées dans une exploitation RCE pré-authentifiée pour VMware vRealize Operations Manager Suite (vROPS). VMware a également émis l’avis correspondant suivi sous VMSA-2022-0022, couvrant les détails de ces failles de sécurité. Les vulnérabilités mentionnées dans l’avis VMSA-2022-0022 qui peuvent être utilisées dans la chaîne d’exploitation incluent le contournement d’authentification MainPortalFilter UI (CVE-2022-31675), la divulgation d’informations SupportLogAction (CVE-2022-31674) et l’élévation de privilèges generateSupportBundle VCOPS_BASE (CVE-2022-31672). Chaque problème de sécurité distinct a un impact de gravité faible, cependant, enchaînés ensemble, ils permettent à un attaquant non authentifié d’exécuter un code malveillant sur les instances affectées.

Détection de CVE-2022-31672 : La deuxième partie de la chaîne d’exploitation

Les vulnérabilités découvertes dans des produits populaires exploités par des milliers d’organisations mondiales peuvent constituer une menace sévère lorsqu’elles sont enchaînées. La plateforme Detection as Code de SOC Prime élabore une règle Sigma pour détecter une vulnérabilité d’élévation de privilèges suivie sous CVE-2022-31672, qui est utilisée dans la deuxième partie de la chaîne d’exploitation RCE couverte dans l’avis VMSA-2022-0022 par VMware. Les praticiens de la cybersécurité peuvent suivre le lien ci-dessous pour accéder à l’algorithme de détection dédié élaboré par les développeurs de contenu de l’équipe SOC Prime :

Modèles possibles d’élévation de privilèges VMware vRealize [CVE-2022-31672] (via cmdline)

Cette règle Sigma peut être appliquée à travers 19 technologies SIEM, EDR et XDR, y compris les solutions cloud-native et sur site de pointe dans l’industrie. Pour obtenir une visibilité accrue sur les menaces et améliorer l’efficacité de la cybersécurité, la détection est alignée avec le cadre MITRE ATT&CK® couvrant les tactiques d’exécution et d’évasion de défense avec les techniques adverses correspondantes Command and Scripting Interpreter (T1059) et Hijack Execution Flow (T1574). Les praticiens de la cybersécurité peuvent également appliquer cette règle Sigma pour chasser instantanément les menaces associées utilisant la chaîne d’exploitation affectant les produits VMware avec le module Quick Hunt de SOC Prime.

Pour détecter les menaces actuelles et émergentes affectant les produits VMware populaires, les praticiens de la cybersécurité sont invités à tirer parti de la liste complète des règles Sigma dédiées disponibles sur la plateforme de SOC Prime. Cliquez sur le bouton Detect & Hunt ci-dessous pour accéder à cette vaste collection d’alertes pertinentes de haute fidélité et de requêtes de chasse vérifiées pour garder une longueur d’avance sur les attaquants. Vous cherchez un contexte de cybermenace approfondi immédiatement accessible? Parcourez SOC Prime pour les menaces liées à VMware et plongez instantanément dans l’information contextuelle complète avec les liens MITRE ATT&CK, les références CTI, et une liste des règles Sigma pertinentes.

Detect & Hunt Explorer le contexte des menaces

Chaîne d’exploitation affectant VMware vRealize Operations Manager : Analyse des attaques

Le 9 août 2022, VMware a émis un avis VMSA-2022-0022 couvrant un ensemble de vulnérabilités trouvées dans sa suite vRealize Operations Manager (vROPS) affectant la version 8.6.3 du produit. Les failles de sécurité révélées incluent la vulnérabilité d’élévation de privilèges suivie sous CVE-2022-31672, les vulnérabilités de divulgation d’informations CVE-2022-31673 et CVE-2022-31674, et la vulnérabilité de contournement d’authentification CVE-2022-31675. VMware a également publié des correctifs pertinents pour remédier aux vulnérabilités découvertes dans les produits VMware impactés. Il est également recommandé aux organisations de mettre à jour vers la version corrigée VMware vROPS 8.6.4 pour atténuer la menace. 

Notamment, chacune des vulnérabilités découvertes peut être considérée comme modérément sévère en termes de gravité et d’impact selon son score CVSS (allant de 5.6 à 7.2) si exploitée seule, cependant, lorsqu’elles sont enchaînées, leur impact est beaucoup plus destructeur. Le chercheur en cybersécurité Steven Seeley de Qihoo 360 Vulnerability Research Institute, qui a signalé le problème à VMware, a publié le PoC exploit sur GitHub appelé “DashOverride”, enchaînant trois des vulnérabilités corrigées mentionnées ci-dessus (CVE-2022-31675, CVE-2022-31674, et CVE-2022-31672). Selon la recherche en cybersécurité dédiée sur le blog Source Incite, ces failles de sécurité peuvent conduire à une chaîne d’exploitation root à distance pré-authentifiée, ce qui pourrait exposer des milliers d’organisations à des risques sévères. 

La chaîne d’exploitation débute par l’exploitation de la vulnérabilité CVE-2022-31675, qui permet à un attaquant d’appliquer un identifiant de lien de tableau de bord valide pour contourner l’authentification. Les acteurs malveillants peuvent également exploiter cette faille de sécurité en liant un tiers à un site web malveillant, qui peut installer une porte dérobée dans l’application avec un utilisateur disposant de privilèges administratifs. Une autre vulnérabilité de divulgation d’informations, CVE-2022-31674, entre en jeu dans la chaîne d’exploitation lorsqu’elle abuse du gestionnaire Pak valide responsable de l’écriture de mots de passe sensibles dans les fichiers journaux. 

La deuxième partie de la chaîne d’exploitation implique l’exploitation de la vulnérabilité d’élévation de privilèges CVE-2022-31672, qui permet à des utilisateurs peu privilégiés de lancer le script exécutable en tant que root. Pour garantir que l’exploitation fonctionne, les acteurs de la menace doivent configurer la variable d’environnement avant d’appeler un script pour l’élévation de privilèges.

L’augmentation des volumes de chaînes d’exploitation impactant les produits populaires appliqués par de nombreuses organisations à travers le monde pose un défi pressant aux cyberdéfenseurs. La plateforme Detection as Code de SOC Prime permet aux praticiens de la cybersécurité de détecter de manière proactive les tentatives d’exploitation et de mitiger rapidement les menaces de toute échelle et complexité, en exploitant la puissance de la défense cyber collaborative. Les chasseurs de menaces et les ingénieurs de détection en quête d’auto-amélioration peuvent également rejoindre le Threat Bounty Program pour la contribution de contenu en crowdsourcing afin de créer des algorithmes de détection de haute qualité, les partager avec leurs pairs de l’industrie, et monétiser leurs compétences de manière récurrente.