Détection CVE-2022-32223 : Nouvelle vulnérabilité dans Node.js
Table des matières :
Les chercheurs ont découvert que Node.js, un environnement de serveur open source, est susceptible au détournement de bibliothèque de liens dynamiques (DLL) si OpenSSL est installé sur la cible. Les versions affectées incluent toutes les lignes de versions 16.x et 14.x.
Detect CVE-2022-32223
Pour identifier rapidement les éventuelles violations de système par l’exploitation de la faille CVE-2022-32223, téléchargez une règle Sigma développée par le développeur expérimenté Threat Bounty Sittikorn Sangrattanapitak:
Potentiel détournement de l’ordre de recherche DLL [CVE-2022-32223] via npm CLI (via imageload)
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Snowflake, Carbon Black, Securonix, et Open Distro.
La règle est alignée avec le framework MITRE ATT&CK® version 10, abordant la tactique d’évasion de défense avec le flux d’exécution détourné comme technique principale (T1574).
Exploitez votre potentiel de chasse aux menaces avec la plus grande et la plus avancée plateforme pour la défense cyber collaborative au monde qui accumule plus de 200 000 détections enrichies en contexte, utilisées par plus de 7 000 organisations et 28 000 utilisateurs. Le contenu est développé par 600 chercheurs et chasseurs de menaces du Threat Bounty Program , qui contribuent activement leurs règles Sigma et YARA à la plateforme SOC Prime. Appuyez sur le Détecter & Chasser bouton pour en savoir plus sur les options d’accès disponibles.
Profitez du plus grand référentiel de règles Sigma enrichi avec des informations contextuelles complètes sur les menaces cyber, accessible via le premier moteur de recherche de l’industrie pour la chasse aux menaces, la détection de menaces et l’intelligence sur les menaces cyber. Appuyez sur le Explorer le Contexte des Menaces bouton pour en savoir plus.
Détecter & Chasser Explorer le Contexte des Menaces
CVE-2022-32223 Description
Des chercheurs de Aqua Security ont récemment publié une alerte de menace, indiquant que les utilisateurs de Node.js peuvent être affectés par une faille de sécurité qui a reçu le code CVE-2022-32223. Pour que la vulnérabilité soit exploitée, l’hôte doit avoir deux dépendances sur ses appareils Windows : un OpenSSL installé et un fichier « C:Program FilesCommon FilesSSLopenssl.cnf » existant.
Les attaquants peuvent forcer un service à utiliser une DLL malveillante au lieu de la DLL légitime prévue s’ils prennent le contrôle de l’un des répertoires. L’attaque permet aux adversaires d’augmenter leurs privilèges et d’établir une persistance dans un environnement compromis.
La vulnérabilité a été jugée de gravité élevée et est maintenant corrigée par le fournisseur. Tous les utilisateurs sont donc invités à installer les dernières mises à jour.
Utilisez des alertes haute fidélité pour identifier les lacunes critiques de sécurité pour des enquêtes approfondies sur les menaces, à grande échelle, avec Les Règles Sigma de The Smoking Guns fournies par SOC Prime.
