CVE-2022-41974, CVE-2022-41973, CVE-2022-3328 Détection d’exploitation : Trois vulnérabilités Linux enchaînées pour obtenir des privilèges root complets
Table des matières :
Les experts en sécurité de l’unité de recherche sur les menaces de Qualys avertissent d’une nouvelle vulnérabilité (CVE-2022-3328) dans Snapd, un outil de gestion de logiciels populaire pour Linux, qui pourrait être exploité pour une élévation locale de privilèges et une exécution de code arbitraire. Le problème de sécurité mis en lumière peut être enchaîné avec d’anciennes vulnérabilités révélées dans multipathd (CVE-2022-41973 et CVE-2022-41974) pour élever les privilèges au niveau root sur les systèmes Linux.
Détection des tentatives d’exploitation CVE-2022-41974, CVE-2022-41973, CVE-2022-3328
Étant donné que la chaîne d’exploitation pose un risque important pour les systèmes Linux, les experts en sécurité ont besoin d’une source fiable de contenu de détection pour identifier toute attaque contre l’environnement organisationnel dès les premières étapes de son développement. L’équipe SOC Prime a publié un ensemble de règles Sigma détectant les tentatives d’exploitation des CVE-2022-3328, CVE-2022-41973 et CVE-2022-41974 :
Cette règle détecte des modèles d’exploitation de condition de concurrence dans Snap-confine must_mkdir_and_open_with_perms() basé sur la sécurité recherché par Qualys. La détection peut être utilisée sur 18 technologies SIEM, EDR et XDR et est alignée avec le cadre ATT&CK® du MITRE abordant la tactique d’élévation des privilèges avec la technique correspondante d’exploitation pour l’élévation des privilèges (T1068).
Chaîne d’exploitation possible CVE-2022-41974 et CVE-2022-41973 [multipathd] (via auditd)
Chaîne d’exploitation possible CVE-2022-41974 et CVE-2022-41973 [multipathd] (via file_event)
Les règles ci-dessus détectent des modèles d’exploitation de contournement d’autorisation appelé attaque par lien symbolique dans multipathd (création de lien symbolique) et sont également basées sur la recherche de Qualys. Les détections peuvent être appliquées sur 18 technologies SIEM, EDR et XDR et sont alignées avec ATT&CK en abordant la tactique d’élévation des privilèges avec la technique correspondante d’exploitation pour l’élévation des privilèges (T1068).
Envie de rejoindre des forces collectives de cyberdéfense et de gagner de l’argent tout en rendant le monde plus sûr ? Inscrivez-vous à notre Programme de Bounty des Menaces, publiez des règles Sigma exclusives sur le plus grand marché de détection de menaces, perfectionnez vos compétences en ingénierie de détection et connectez-vous avec des experts de l’industrie tout en recevant des avantages financiers pour votre contribution.
Cliquez sur le bouton Explorer les Détections pour consulter la liste exhaustive des règles Sigma couvrant les cas d’utilisation Linux. Accédez au contenu de détection pour les menaces liées à Linux, accompagnées de liens CTI, de références ATT&CK et d’idées de chasse aux menaces.
Chaîne d’Exploitation de Vulnérabilités Linux : Analyse d’Attaques à Fort Impact
Au cours de la période 2021-2022, il y a eu une augmentation significative de la consommation de contenu de détection pour les menaces Linux, ce qui souligne la nécessité pressante de protéger les points de terminaison contre les cyberattaques émergentes affectant les environnements basés sur Linux.
L’équipe de Recherche Qualys a précédemment découvert deux vulnérabilités dans Linux multipathd surnommées « Leeloo Multipath » pouvant conduire à un contournement d’autorisation et des attaques par lien symbolique. Le démon multipathd est un utilitaire conçu pour vérifier la défaillance des chemins fonctionnant en tant que root dans l’installation par défaut de Linux OS comme Ubuntu Server.
Les failles mentionnées ci-dessus peuvent être enchaînées avec une troisième vulnérabilité nouvellement découverte, ce qui peut impliquer des risques de cybersécurité beaucoup plus élevés. L’exploitation réussie des trois vulnérabilités peut permettre aux attaquants d’obtenir des privilèges root complets sur les systèmes Linux compromis.
Les failles découvertes précédemment sont suivies comme CVE-2022-41974 et CVE-2022-41973, la première menant à un contournement d’autorisation (score CVSS 7.8) et l’autre pouvant potentiellement causer une attaque par lien symbolique (score CVSS 7.0). Les deux vulnérabilités, peu importe la manière dont elles sont exploitées — seules ou enchaînées ensemble — peuvent mener à une élévation locale de privilèges au niveau root.
Le nouveau bug de sécurité, suivi comme CVE-2022-3328, affecte la fonction Snap-confine sur Linux OS, qui est appliquée par Snapd pour construire l’environnement d’exécution pour les applications Snap. Actuellement, aucune atténuation n’est disponible pour CVE-2022-3328. Bien que la vulnérabilité ne puisse être utilisée à distance, les risques de tentatives d’exploitation augmentent, à condition que les acteurs de la menace se connectent en tant qu’utilisateurs sans privilèges leur permettant d’obtenir des privilèges root. Cette faille de sécurité a été introduite en février 2022 par le correctif pour une autre vulnérabilité de condition de concurrence Snapd suivie comme CVE-2021-44731. Les défenseurs du cyberespace recommandent fortement d’appliquer le correctif pour cette vulnérabilité afin de se défendre de manière proactive contre d’éventuelles intrusions.
Les vulnérabilités faciles à exploiter dans les applications logicielles populaires exposent des milliers d’entreprises mondiales à des risques de réputation, c’est pourquoi la détection proactive de l’exploitation des vulnérabilités occupe l’une des premières positions parmi les priorités de contenu du SOC. Atteignez 700 algorithmes de détection pour les CVE actuels et existants en utilisant la défense cybernétique collective — obtenez plus de 120 règles Sigma gratuitement à https://socprime.com/ ou toute la pile de détection à la demande sur https://my.socprime.com/pricing/. Profitez de notre offre Cyber Monday à la demande pour obtenir jusqu’à 200 règles Sigma premium de votre choix d’ici la fin de 2022.
