Rilevamento CVE-2022-22954: Vulnerabilità Critica Favorisce Attacchi RCE
Indice:
La scorsa settimana, VMware ha rilasciato un avviso esortando gli utenti a correggere otto vulnerabilità di vari livelli di gravità. I bug non corretti consentono il compromesso dei seguenti prodotti VMware: VMware Workspace ONE Access, Identity Manager (vIDM), vRealize Automation (vRA), Cloud Foundation e Suite Lifecycle Manager. La preda più facile sulla lista, con un punteggio CVSS di 9.8, è una vulnerabilità di esecuzione di codice remoto tramite iniezione di template lato server tracciata come CVE-2022-22954.
Rileva CVE-2022-22954
Gli avversari possono avviare attacchi sfruttando CVE-2022-22954 per eseguire un’iniezione di template lato server di VMware Workspace ONE Access Freemarker. Usa la Sigma regola sottostante sviluppata dai talentuosi membri del SOC Prime Team per tracciare tempestivamente qualsiasi attività sospetta rilevante nel tuo sistema:
Possibile tentativo di sfruttamento di VMWare CVE-2022-22954 (via webserver)
Questa rilevazione è disponibile per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica Initial Access con Exploit Public-Facing Application (T1190) come tecnica principale.
Segui gli aggiornamenti dei contenuti di rilevazione relativi a CVE-2022-22954 nel repository Threat Detection Marketplace della piattaforma SOC Prime qui.
Sei uno sviluppatore esperto di contenuti di rilevazione delle minacce? Sfrutta il potere della più grande comunità di difesa cibernetica del mondo guidata dal Threat Bounty Program, condividi i tuoi contenuti di rilevazione e guadagna premi ricorrenti per il tuo prezioso contributo.
Visualizza le rilevazioni Unisciti al Threat Bounty
Analisi di CVE-2022-22954
La vulnerabilità critica di esecuzione di codice remoto, tracciata come CVE-2022-22954, risiede in VMware Workspace ONE Access e Identity Manager. Il bug non è senza precedenti: alla fine di settembre 2022, CVE-2021-22005 ha permesso agli avversari di colpire sistemi vulnerabili con attacchi RCE, ottenendo privilegi di root e raggiungendo il vCenter Server attraverso la rete. Il nuovo difetto RCE consente agli avversari con accesso alla rete una iniezione di template lato server che può portare a un’esecuzione remota di codice. Per ulteriori dettagli sull’exploit, vedi CVE-2022-22954 PoC.
Le patch di VMware, rilasciate il 6 aprile 2022, affrontano una serie di problemi di sicurezza nei prodotti VMware di vari livelli di gravità, tra cui cinque critici. Per una mitigazione efficace di CVE-2022-22954, si consiglia vivamente a tutti gli utenti dei prodotti VMware interessati di applicare le patch più recenti o di prendere in considerazione le soluzioni alternative disponibili senza alcun ulteriore ritardo.
Unisciti alla piattaforma Detection as Code di SOC Prime per ottimizzare le tue capacità di caccia e sbloccare l’accesso al più grande pool di contenuti di rilevazione live creato dai leader del settore. Sei entusiasta di contribuire alla comunità cibernetica mondiale arricchendo la piattaforma Detection as Code con i tuoi contenuti di rilevazione? Unisciti al nostro Threat Bounty Program per un futuro più sicuro!
