Détecter CVE-2021-39144 : Vulnérabilité d’Exécution de Code à Distance Critique dans VMware Cloud Foundation via la Bibliothèque Open Source XStream
Table des matières :
Un autre jour, un autre exploit émerge dans la nature pour causer des maux de tête aux praticiens de la sécurité. VMware avertit de la disponibilité d’un code d’exploitation public pour une vulnérabilité critique d’exécution de code à distance (RCE) récemment corrigée (CVE-2021-39144) dans VMware Cloud Foundation et NSX Manager. Exploitant cette faille, des acteurs de menaces non authentifiés pourraient exécuter du code malveillant avec les privilèges système les plus élevés, sans nécessiter d’interaction utilisateur.
Détection CVE-2021-39144
Avec un code d’exploitation public disponible, une vulnérabilité de sévérité 9,8/10 représente une menace critique pour les organisations du monde entier. Pour protéger votre infrastructure organisationnelle et détecter une activité potentiellement malveillante dès les premiers stades d’attaque, obtenez une version de règle Sigma de notre développeur engagé Threat Bounty Wirapong Petshagun.
Les détections sont compatibles avec 18 technologies SIEM, EDR et XDR, et sont alignées avec le cadre MITRE ATT&CK® traitant des tactiques d’Accès Initial, avec Exploit Public-Facing Applications (T1190) comme technique correspondante.
Rejoignez notre programme Threat Bounty pour monétiser vos contenus de détection exclusifs tout en développant votre futur CV et en perfectionnant vos compétences en ingénierie de détection. Publiées sur le plus grand marché mondial de détection des menaces et explorées par 7 000 organisations à travers le monde, vos règles Sigma peuvent aider à détecter les menaces émergentes et rendre le monde plus sûr tout en garantissant des profits financiers récurrents.
Cliquez sur le bouton Explore Detections pour accéder instantanément aux règles Sigma pour CVE-2021-39144, les liens CTI correspondants, les références ATT&CK et les idées de chasse aux menaces.
Analyse CVE-2021-39144
La vulnérabilité critique de VMware Cloud Foundation (CVE-2021-39144) est due à une mauvaise configuration dans la bibliothèque open source XStream. Selon l’avis de VMware, un point de terminaison non authentifié qui utilise XStream pour la sérialisation des entrées dans VMware Cloud Foundation (NSX-V) permet une exécution de code à distance pré-authentifiée avec des privilèges root. Le bug affecte les versions 3.11 et inférieures de Cloud Foundation, tandis que les versions 4.x sont considérées comme sécurisées.
La vulnérabilité a reçu la note de sévérité maximale de 9,8 sur 10 et a été immédiatement corrigée par le fournisseur le 25 octobre 2022. Notamment, bien que VMware ait mis fin au support général pour NSX-V en janvier 2022, un correctif a été mis à disposition pour les produits en fin de vie. De plus, des directives ont été publiées pour instruire les clients sur la mise à niveau des appliances NSX-V 6.4.14 sur Cloud Foundation 3.x. Les utilisateurs sont exhortés à mettre à jour dès que possible puisque la disponibilité d’un code d’exploitation public présume une avalanche d’attaques dans la nature ressemblant à l’épidémie Log4Shell .
Augmentez vos capacités de détection des menaces et accélérez la vitesse de chasse aux menaces équipé de Sigma, MITRE ATT&CK, et Detection as Code pour toujours avoir à portée de main des algorithmes de détection adaptés contre toute tactique TTP adversaire ou vulnérabilité exploitable. Obtenez 800 règles pour les CVE existants afin de vous défendre proactivement contre les menaces qui comptent le plus. Accédez instantanément à 140+ règles Sigma gratuitement ou obtenez tous les algorithmes de détection pertinents à la demande sur https://my.socprime.com/pricing/.
