Rilevamento di CVE-2022-22960 e CVE-2022-22954: CISA Avverte di Tentativi di Sfruttamento delle Vulnerabilità VMware Non Corrette

Il 18 maggio 2022, CISA ha emesso un avviso che avverte le organizzazioni di potenziali tentativi di sfruttamento delle vulnerabilità note nei prodotti VMware tracciate come CVE-2022-22954 e CVE-2022-22960. Una volta sfruttate, le vulnerabilità scoperte consentono agli attori delle minacce di eseguire iniezioni di template malevoli sul lato server. Più specificamente, lo sfruttamento della CVE-2022-22954 può portare a esecuzione di codice remoto, mentre la vulnerabilità CVE-2022-22960 può essere utilizzata per l’elevazione privilegi. Ciò che raddoppia i rischi è il fatto che i nuovi bug scoperti di VMware possono essere una fonte di attacchi a catena di sfruttamento.

Rilevare i tentativi di sfruttamento delle CVE-2022-22954 e CVE-2022-22960

Per rilevare i pattern di sfruttamento correlati alla vulnerabilità CVE-2022-22954 di VMware, la piattaforma Detection as Code di SOC Prime offre un pacchetto di regole Sigma dedicate:

Regole Sigma per rilevare i tentativi di sfruttamento della CVE-2022-22954

Inoltre, i professionisti della cybersecurity possono accedere alla nuova regola Sigma rilasciata per la rilevazione della CVE-2022-22960 creata dal nostro esperto sviluppatore Threat Bounty Sittikorn Sangrattanapitak:

Possibile elevazione del privilegio VMware all’account root [CVE-2022-22960] (via creazione di processi)

Per accedere a queste regole Sigma curate, assicurati di effettuare il login o registrarti sulla piattaforma per la più fluida esperienza di rilevamento. Tutte le rilevazioni sono allineate con il framework MITRE ATT&CK® per fornire una visibilità delle minacce rilevante e sono disponibili per la maggior parte delle soluzioni SIEM, EDR e XDR supportate dalla piattaforma di SOC Prime.

Per rilevare i tentativi di sfruttamento di multiple vulnerabilità note che impattano i prodotti VMware, esplora l’ampia collezione di algoritmi di rilevamento disponibili sulla piattaforma di SOC Prime. Clicca sul Visualizza Rilevazioni bottone per accedere al kit di regole dedicato. Gli esperti di cybersecurity che si impegnano nella differenza e nell’arricchimento della libreria di contenuti di rilevazione con i loro contributi personali sono invitati a unirsi al Programma Threat Bounty e ottenere l’opportunità di trasformare le loro competenze professionali in guadagni finanziari ricorrenti.

Visualizza Rilevazioni Unisciti a Threat Bounty

Analisi delle Vulnerabilità VMware

VMware ha rilasciato aggiornamenti per entrambe le vulnerabilità CVE-2022-22954 e CVE-2022-22960 un mese fa, il che non ha impedito agli attori delle minacce di sfruttare rapidamente le falle scoperte nelle istanze VMware non aggiornate entro 48 ore dal lancio degli aggiornamenti correlati. Secondo la BOD 22-01 della CISA, gli enti federali sono stati sollecitati a prendere azione immediata per implementare con urgenza gli aggiornamenti per le suddette vulnerabilità per minimizzare i rischi di sicurezza.

Secondo le informazioni dall’ultimo avviso di cybersecurity, le CVE-2022-22954 e CVE-2022-22960 possono essere concatenate per ottenere il controllo completo del sistema. Una delle vittime ha riportato che gli avversari hanno dapprima sfruttato la CVE-2022-22954 per eseguire un comando shell arbitrario e poi hanno sfruttato la seconda vulnerabilità di VMware nella catena di sfruttamento per l’elevazione dei privilegi. Ottenendo l’accesso root, gli attaccanti erano liberi di cancellare i log, elevare i permessi e applicare il movimento laterale per ottenere un ulteriore controllo sul sistema compromesso. Inoltre, i ricercatori di cybersecurity hanno osservato un altro incidente con l’abuso della CVE-2022-22954 per diffondere ulteriormente una webshell malevola chiamata Dingo J-spy.

I ricercatori di cybersecurity hanno osservato in precedenza un paio di altre vulnerabilità critiche rivelate nel VMware vCenter. Nel febbraio 2021, una vulnerabilità di esecuzione di codice remoto tracciata come CVE-2021-21972 con un punteggio CVSS di 9.8 è stata identificata nel plugin del vCenter Server. Una volta divulgata, questa vulnerabilità critica è stata segnalata per portare a una scansione di massa delle istanze compromesse con il PoC disponibile su GitHub il giorno successivo alla sua scoperta.

Più tardi nel 2021, un’altra vulnerabilità critica identificata come CVE-2021-22005 è stata identificata nel VMware vCenter Server. La falla è stata sfruttata pubblicamente in natura e a causa dell’esposizione a un ampio range di infrastrutture critiche a rischi elevati, CISA ha rilasciato un avviso dedicato che elenca le corrispondenti misure di mitigazione.

Per quanto riguarda le misure di mitigazione in risposta allo sfruttamento di CVE-2022-22954 e CVE-2022-22960, i prodotti VMware affetti dovrebbero essere prontamente aggiornati all’ultima versione. Inoltre, per minimizzare i rischi di attacchi a catena di sfruttamento correlati, si raccomanda alle organizzazioni di rimuovere le versioni del software affette dai loro sistemi.

Le organizzazioni progressiste che cercano modi per rimanere avanti alla curva possono trarre il massimo dalla soluzione di SOC Prime mirata ad aiutare i team a massimizzare il valore dei loro investimenti in sicurezza. Partecipando alla piattaforma Detection as Code di SOC Prime, gli esperti di sicurezza possono vedere in azione come possono beneficiare di capacità di difesa cibernetica accelerate.