Détection des vulnérabilités prioritaires dans la directive opérationnelle contraignante 22-01 de la CISA
Table des matières :
Pour permettre aux organisations de contrer les risques posés par les vulnérabilités critiques décrites dans la Directive Opérationnelle Contraignante (BOD) 22-01, SOC Prime fournit une liste exhaustive de détections sélectionnées pour identifier les tentatives d’exploitation possibles dans votre infrastructure et isoler les actifs potentiellement affectés pendant que les procédures de correction sont en cours.
La sophistication croissante des activités malveillantes menaçant les secteurs privé et public à l’échelle mondiale exige que les organisations renforcent leurs capacités de défense cybernétique pour anticiper les attaquants. Corriger les vulnérabilités connues est l’une des priorités les plus élevées pour se défendre de manière proactive contre les menaces émergentes.
Le 3 novembre 2021, l’Agence de la Cybersécurité et de la Sécurité des Infrastructures (CISA) a publié Directive Opérationnelle Contraignante (BOD) 22-01 visant à aider les organisations à atténuer les risques critiques des vulnérabilités connues sous exploitation active. Le BOD 22-01 est obligatoire pour toutes les agences fédérales américaines, néanmoins, toutes les autres organisations, y compris les entreprises privées, les sociétés de divers secteurs, et les entreprises publiques, sont fortement encouragées à prioriser la correction des vulnérabilités mises en lumière.
Tous les problèmes de sécurité critiques sont fournis dans le catalogue public émis par la CISA en parallèle avec la Directive 22-01. Le principal objectif de ce catalogue est de suivre et résumer les lacunes de sécurité spécifiques pour permettre aux organisations du monde entier de traiter les risques possibles et de résister aux attaques plus efficacement.
Catalogue des Vulnérabilités Connues Exploitées par la CISA
CISA énumère 291 Vulnérabilités et Expositions Communes (CVE) à corriger en urgence par les agences fédérales. Bien que les correctifs pour l’ensemble de la liste des bugs doivent être appliqués dès que possible, la priorisation est très pertinente pour permettre leur mise en œuvre progressivement en trois étapes:
Priorité Maximale
Certaines vulnérabilités de la liste sont déjà échues. Par conséquent, les organisations doivent vérifier d’urgence si elles ont renforcé leur protection avec les correctifs existants. Ces vulnérabilités incluent les exploits les plus graves qui ont secoué le monde numérique en 2020-2021, notamment PrintNightmare, SigRed, Zerologon, CryptoAPI, et Pulse Connect Secure failles de cybersécurité. Au total, il y a 15 CVE échues sur la liste de la CISA nécessitant une correction immédiate.
Haute Priorité
Plus de 30 % (100) des failles du catalogue de vulnérabilités géré par la CISA sont prioritaires pour être corrigées en moins de deux semaines, jusqu’au 17 novembre 2021, en raison de la gravité des exploits et de leur niveau de risque élevé.
Priorité Moyenne
Pour la majorité des bugs de la liste (176), les procédures de correction doivent être mises en œuvre d’ici le 3 mai 2022, ce qui permet aux organisations de disposer de plus de 6 mois pour appliquer les correctifs.
Détectez les vulnérabilités de BOD 22-01 de la CISA avec la plateforme Detection as Code de SOC Prime
En réponse au catalogue géré par la CISA décrit dans le BOD 22-01, l’équipe de contenu de SOC Prime fournit la liste de contenu recommandé pour détecter lestentatives d’exploiter ces vulnérabilités connues. Toutes les détections sont disponibles dans la plateforme Detection as Code de SOC Prime et sont organisées dans les listes selon les priorités de correction basées sur la gravité et le niveau de risque des exploits (le plus élevé et élevé) permettant aux équipes de sécurité d’atteindre le contenu le plus pertinent en premier.
L’approche introduite par SOC Prime est basée sur la perspective de détection et de chasse aux menaces permettant aux organisations d’obtenir une vue d’ensemble des silos de sécurité à l’avance et de prioriser facilement ce qui nécessite urgemment une correction. En tirant parti de la pile de détection sélectionnée par les experts de SOC Prime et organisée selon les priorités de correction, les organisations peuvent traquer les acteurs malveillants qui exploitent des menaces critiques pour compromettre les actifs organisationnels. Nous recommandons de tirer parti du contenu de détection dédié de SOC Prime comme déclencheurs pour l’isolement des systèmes potentiellement affectés et des utilisateurs compromis.
Détections pour les CVE de Priorité Maximale
Vous pouvez trouver ici la liste du contenu de détection principal que nous avons rassemblé pour aider les professionnels de la sécurité à traiter les CVE en priorité maximale selon la Directive 22-01 prochainement publiée
CVE-2021-22893 — Exécution de Code à Distance sur Pulse Connect Secure (PCS)
CVE-2021-26855 — Chaîne d’Exploitation Microsoft OWA Exchange Control Panel (ECP)
CVE-2021-26857 — Chaîne d’Exploitation Microsoft OWA Exchange Control Panel (ECP)
CVE-2021-26858 — Chaîne d’Exploitation Microsoft OWA Exchange Control Panel (ECP)
CVE-2021-27065 — Chaîne d’Exploitation Microsoft OWA Exchange Control Panel (ECP)
CVE-2020-1350 — Vulnérabilité d’Exécution de Code à Distance « SigRed » du Serveur DNS Windows
CVE-2021-34527 — “PrintNightmare » Vulnérabilité d’Exécution de Code à Distance du Spouleur d’Impression Microsoft Windows
CVE-2020-1472 — “ZeroLogon” Vulnérabilité d’Élévation de Privilèges NetLogon
CVE-2020-0601 — Vulnérabilité API/ECC Windows 10 (CryptoAPI de Windows)
CVE-2020-8260 — RCE sur Pulse Connect Secure
CVE-2019-11510 — Vulnérabilité de Lecture de Fichiers Arbitraires Pulse Secure VPN (liste COVID-19-CTI)
CVE-2021-22900 — Vulnérabilité d’Envoi de Fichier Arbitraire sur Pulse Connect Secure
CVE-2021-22894 — Suite de Collaboration sur Pulse Connect Secure Exécution de Code à Distance
CVE-2021-22899 — Exécution de Code à Distance sur Pulse Connect Secure
CVE-2020-8243 — Exécution de Code Arbitraire sur Pulse Connect Secure
The liste complète des détections traitant tous les CVE de priorité maximale est disponible dans la plateforme Detection as Code de SOC Prime.
Détections pour les CVE de Haute Priorité
La liste suivante inclut du contenu de détection sélectionné disponible sur la plateforme de SOC Prime couvrant les vulnérabilités connues exploitées pouvant être classées comme de haute priorité selon le catalogue correspondant géré par la CISA :
CVE-2021-1675 — RCE du Spouleur d’Impression Windows
CVE-2021-22986 — RCE non authentifié F5 iControl REST
CVE-2021-1879 — XSS sur le Moteur de Navigation Webkit d’Apple iOS
CVE-2021-21166 — Vulnérabilité de Dépassement de Tampon dans WebAudio de Google Chrome
CVE-2021-21224 — Exécution de Code à Distance sur le moteur JavaScript V8 de Chromium
CVE-2021-21972 — RCE sur Serveur VMWare vCenter
CVE-2021-21985 — Exécution de Code à Distance sur Serveur VMWare vCenter
CVE-2021-22005 — Téléchargement de Fichier sur Serveur VMWare vCenter
CVE-2021-22205 — Exécution de Code à Distance des Éditions Communautaire et Entreprise de GitLab à partir de la version 11.9
CVE-2021-22502 — RCE sur Serveur Micro Focus Operation Bridge Report (OBR)
CVE-2021-26084 — Exécution de Code Arbitraire sur Serveur Atlassian Confluence
CVE-2021-26411 — Vulnérabilité de Corruption de Mémoire sur Microsoft Internet Explorer et Edge
CVE-2021-30551 — Confusion de Type dans le Moteur V8 de Chromium
CVE-2021-30554 — Usage après Libération WebGL de Google Chrome
CVE-2021-31207 — Vulnérabilité de Détournement de Fonctionnalité de Sécurité sur Serveur Microsoft Exchange
CVE-2021-31956 — Vulnérabilité d’Élévation de Privilèges NTFS de Microsoft Windows
CVE-2021-31979 — Élévation de Privilèges du Noyau Windows
CVE-2021-33771 — Élévation de Privilèges du Noyau Windows
CVE-2021-34473 — Vulnérabilité d’Exécution de Code à Distance sur Serveur Microsoft Exchange
CVE-2021-34523 — Vulnérabilité d’Élévation de Privilèges sur Serveur Microsoft Exchange
CVE-2021-35211 — Vulnérabilité d’Évasion de Mémoire à Distance de SolarWinds Serv-U
CVE-2021-36942 — USurpation de Microsoft LSA
CVE-2021-38647 — Exécution de Code à Distance sur Infrastructure de Gestion Ouverte (OMI) de Microsoft Azure
CVE-2021-40444 — Vulnérabilité d’Exécution de Code à Distance MSHTML de Microsoft
CVE-2021-40539 — Contournement d’Authentification sur Zoho Corp. ManageEngine ADSelfService Plus version 6113 et antérieures
CVE-2021-41773 — Vulnérabilité de Traversée de Chemin sur Serveur Apache HTTP
CVE-2021-42013 — Traversée de Chemin sur Serveur Apache HTTP version 2.4.49 et 2.4.50
Référez-vous à la liste complète des détections pour les CVE de haute priorité via la plateforme Detection as Code de SOC Prime.
Dans cet article, nous couvrons le contenu de détection le plus pertinent pour les CVE critiques répertoriées dans le catalogue de vulnérabilités de la CISA. SOC Prime enrichit constamment la plateforme Detection as Code avec du contenu toujours à jour, et de nouvelles détections adressant les CVE couvertes par BOD 22-01 sont en cours de recherche et de développement pour curation et livraison dans les prochaines semaines.
Vous recherchez le contenu de détection de menaces le plus récent ? Explorez la plateforme Detection as Code de SOC Prime qui fournit nativement un contenu de détection basé sur Sigma grâce à un abonnement à plus de 20 solutions SIEM et XDR aidant les équipes de sécurité du monde entier à se défendre contre les attaques numériques plus facilement, rapidement et efficacement. Pour renforcer la cyber-défense collaborative, rejoignez l’initiative de crowdsourcing de SOC Prime permettant aux chasseurs de menaces et aux chercheurs du monde entier de monétiser leur propre contenu de détection tout en contribuant à un avenir plus sûr.
