Rilevamento CVE-2022-29799 e CVE-2022-29800: Nuove Vulnerabilità di Escalation dei Privilegi nel Sistema Operativo Linux Note come Nimbuspwn
Indice:
Il 26 aprile, il Microsoft 365 Defender Research Team ha scoperto un paio di nuove vulnerabilità collettivamente soprannominate Nimbuspwn, che consentono agli avversari di aumentare i privilegi su più ambienti desktop Linux. I difetti Nimbuspwn appena rilevati sono stati identificati come CVE-2022-29799 e CVE-2022-29800.
Una volta concatenati, questi difetti danno ai hacker il via libera per ottenere privilegi di root, portare al deployment di payload e compromettere ulteriormente i sistemi Linux tramite esecuzione di codice root arbitrario. Inoltre, l’attività potenzialmente dannosa può essere intensificata attraverso queste nuove vulnerabilità Nimbuspwn, esponendo gli ambienti Linux compromessi a minacce più avanzate, inclusi attacchi ransomware.
Rilevamento CVE-2022-29799 e CVE-2022-29800: Nimbuspwn
Per fornire visibilità sulle minacce correlate alle vulnerabilità Nimbuspwn recentemente scoperte, tracciate come CVE-2022-29799 e CVE-2022-29800, il SOC Prime Team ha fornito una regola Sigma dedicata disponibile sulla piattaforma SOC Prime. I professionisti della sicurezza sono invitati a registrarsi sulla piattaforma o ad accedere con le credenziali esistenti per raggiungere questa regola:
Possibile attività LPE di Nimbuspwn (tramite process_creation)
Questo rilevamento può essere utilizzato su 20 soluzioni SIEM, EDR e XDR ed è allineato con l’ultima versione del framework MITRE ATT&CK® per una migliore visibilità nei TTP degli avversari, affrontando la tattica di escalation dei privilegi e la tecnica corrispondente di sfruttamento per l’escalation dei privilegi (T1068).
Per mantenere i SIEM e altre soluzioni di sicurezza in uso costantemente aggiornati sul contenuto SOC in tempo quasi reale, i team sono invitati a esplorare lo stack di rilevamento completo disponibile sulla piattaforma SOC Prime facendo clic sul pulsante Visualizza Rilevamenti . Per quegli appassionati di cybersecurity che aspirano a rafforzare il potenziale di difesa informatica attraverso la partecipazione a un’iniziativa di crowdsourcing, unirsi al Threat Bounty Program può essere un ottimo punto di partenza per sviluppare abilità di threat hunting e content development e collaborare per un futuro digitale più sicuro.
Visualizza Rilevamenti Unisci al Threat Bounty
Panoramica Nimbuspwn
Secondo un’indagine di Microsoft, i ricercatori hanno rivelato una serie di lacune di sicurezza mentre ispezionavano un componente systemd soprannominato networkd-dispatcher all’interno di un meccanismo popolare di comunicazione tra processi denominato D-Bus (IPC). In particolare, hanno identificato un problema di attraversamento directory (CVE-2022-29799) così come difetti di corsa ai symlink e di controllo del tempo di controllo rispetto al tempo di utilizzo (CVE-2022-29800) che potrebbero essere concatenati per acquisire privilegi di root sui sistemi Linux ed eseguire backdoor negli ambienti compromessi.
Per mitigare le potenziali minacce associate ai tentativi di sfruttamento delle vulnerabilità Nimbuspwn, gli utenti di networkd-dispatcher sono invitati ad aggiornare le proprie istanze alle ultime versioni software. Inoltre, le organizzazioni progressiste che cercano di migliorare la postura di cybersecurity dovrebbero prendere misure per monitorare costantemente i loro ambienti a causa degli elevati rischi di nuovi difetti scoperti nei sistemi Linux.
L’implementazione di un approccio proattivo nella gestione delle vulnerabilità può aiutare le organizzazioni a rivelare tempestivamente e mitigare minacce e sfruttamenti che erano precedentemente sconosciuti. Utilizzare la piattaforma SOC Prime di rilevamento come codice permette ai team di rilevare le minacce nelle prime fasi del ciclo di vita dell’attacco mentre si continua ad accelerare le capacità di difesa informatica.
