CVE-2022-30333 Rilevamento: Nuova vulnerabilità di sicurezza nell’utilità UnRAR
Indice:
L’Agenzia per la Sicurezza delle Infrastrutture Critiche degli Stati Uniti (CISA) espande il suo catalogo di Vulnerabilità Note Sfruttate documentando diversi nuovi difetti di traversal directory sfruttati attivamente. I bug in questione sono un difetto RCE etichettato CVE-2022-34713 e una vulnerabilità di traversal del percorso registrata come CVE-2022-30333. Microsoft ha riconosciuto che una vulnerabilità CVE-2022-34713 è una variante del Follina-simile DogWalk falla di sicurezza di traversal del percorso nello Strumento di Diagnostica del Supporto Microsoft Windows rivelata all’inizio di quest’estate.
Un’altra falla tracciata come CVE-2022-30333 risiede nelle versioni Linux e Unix dell’utility UnRAR. Gli avversari sfruttano la vulnerabilità attirando le vittime ad aprire un archivio RAR armato.
Entrambe le falle ad alta gravità sono sfruttate in natura.
Rileva CVE-2022-30333
Per minimizzare il possibile impatto di una violazione sulla tua organizzazione, utilizza la seguente regola Sigma rilasciata da un team di ingegneri di Threat Hunting esperti da SOC Prime:
Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetWitness, Snowflake, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
The La regola Sigma sopra è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica di Persistenza e la tecnica del Componente Software del Server (T1505).
Gli utenti non registrati possono sfogliare la collezione di regole Sigma disponibili tramite Motore di Ricerca – un negozio unico per l’intelligenza sulle minacce e il contenuto per SOC. Premi il Esplora il Contesto delle Minacce pulsante per portare la tua routine di rilevazione al livello successivo.
I professionisti SOC sono invitati a registrarsi sulla piattaforma SOC Prime per ottenere un piano di abbonamento alla Community gratuito. Clicca su Rileva & Caccia per accedere a un’esauriente collezione di algoritmi di rilevazione allineati con oltre 26 soluzioni SIEM, EDR e XDR.
Rileva & Caccia Esplora il Contesto delle Minacce
Descrizione di CVE-2022-30333
L’analisi del problema CVE-2022-30333 è apparsa per la prima volta nella ricerca condivisa da SonarSource nel giugno 2022. Basandosi sugli attacchi osservati, gli avversari sfruttano questa vulnerabilità di Scrittura dei File per attacchi RCE compromettendo un server di posta elettronica Zimbra, con più di 62.000 host esposti a Internet. La falla permette a un attore di minaccia di scrivere su file durante un’operazione di estrazione. Dato che un tentativo di sfruttamento ha avuto successo, un attore di minaccia ottiene l’accesso a tutte le email memorizzate su un server di posta elettronica compromesso. Questo livello di accesso con alta probabilità porta a ulteriori sfruttamenti e accesso a dati più sensibili.
La RarLab ha rilasciato una patch ufficiale per affrontare la falla di sicurezza. La correzione è inclusa con i binari della versione 6.12 (versione open source 6.1.7), disponibile per il download dal sito web ufficiale del fornitore. Secondo il fornitore, tutte le versioni di WinRAR rimangono non influenzate da questa falla.
Registrati sulla piattaforma di SOC Prime per accedere al vasto pool di algoritmi di rilevazione verificati con traduzioni in oltre 26 formati specifici per vendor per SIEM, EDR e XDR. Una rilevazione accurata e tempestiva è fondamentale per organizzare efficientemente il SOC 24/7/365 mentre i tuoi ingegneri possono impegnarsi in compiti più avanzati.
