Rilevamento CVE-2022-31672: Exploit di Esecuzione di Codice Remoto Pre-Autenticato Utilizzando Vulnerabilità Corrette nella Suite di Gestione Operativa di VMware vRealize
Indice:
Le falle di sicurezza nei prodotti VMware che possono essere sfruttate in attacchi tramite catene di exploit sono state al centro della scena nella sfera delle minacce informatiche da maggio 2022, quando la CISA ha emesso un allerta avvertendo di note vulnerabilità di esecuzione di codice remoto (RCE) e di escalation di privilegi. Il 9 agosto 2022, VMware ha corretto un altro insieme di vulnerabilità che potrebbero essere concatenati in un exploit RCE pre-autenticato per VMware vRealize Operations Manager Suite (vROPS). VMware ha anche emesso il consiglio correlato tracciato come VMSA-2022-0022, che copre i dettagli di questi difetti di sicurezza. Le vulnerabilità nell’avviso VMSA-2022-0022 che possono essere utilizzate nella catena di exploit includono il bypass dell’autenticazione dell’interfaccia utente MainPortalFilter (CVE-2022-31675), la divulgazione di informazioni SupportLogAction (CVE-2022-31674) e l’incremento di privilegi generateSupportBundle VCOPS_BASE (CVE-2022-31672). Ogni singolo problema di sicurezza ha un impatto di gravità a livello basso, tuttavia, se concatenati insieme, concede a un attaccante non autenticato la capacità di eseguire codice dannoso sulle istanze colpite.
Rilevare CVE-2022-31672: La Seconda Parte della Catena di Exploit
Le vulnerabilità scoperte in prodotti popolari sfruttati da migliaia di organizzazioni globali possono rappresentare una grave minaccia quando concatenate insieme. La piattaforma Detection as Code di SOC Prime cura una regola Sigma per rilevare una vulnerabilità di escalation di privilegi tracciata come CVE-2022-31672, che è utilizzata nella seconda parte della catena di exploit RCE coperta nell’avviso VMSA-2022-0022 di VMware. I professionisti della cybersecurity possono seguire il link sottostante per accedere all’algoritmo di rilevamento dedicato creato dagli sviluppatori di contenuti del Team SOC Prime:
Possibili modelli di escalation di privilegi VMware vRealize [CVE-2022-31672] (via cmdline)
Questa regola Sigma può essere applicata su 19 tecnologie SIEM, EDR e XDR, incluse le soluzioni cloud-native e on-prem più avanzate del settore. Per ottenere una visibilità migliore sulle minacce e potenziare l’efficacia della cybersecurity, il rilevamento è allineato con il framework MITRE ATT&CK® indirizzando le tattiche di Esecuzione e Evasione della Difesa con le corrispondenti tecniche avversarie di Comando e Interprete di Script (T1059) e di Dirottamento del Flusso di Esecuzione (T1574). I professionisti della cybersecurity possono anche applicare questa regola Sigma per cacciare istantaneamente le minacce correlate sfruttando la catena di exploit che colpisce i prodotti VMware con il modulo Quick Hunt di SOC Prime.
Per rilevare le minacce attuali e emergenti che colpiscono i prodotti popolari di VMware, i professionisti della cybersecurity sono invitati a sfruttare l’intera lista di regole Sigma dedicate disponibili sulla piattaforma di SOC Prime. Clicca il pulsante Rileva & Caccia qui sotto per accedere a questa vasta raccolta di avvisi ad alta fedeltà e query di caccia verificate e rimanere sempre aggiornati sugli attaccanti. Sei alla ricerca di un contesto di minaccia informatica approfondito a portata di mano? Naviga su SOC Prime per le minacce legate a VMware e approfondisci istantaneamente le informazioni contestuali complete con link a MITRE ATT&CK, riferimenti CTI e una lista di regole Sigma rilevanti.
pulsante Rileva & Caccia Esplora il Contesto delle Minacce
Catena di Exploit che Colpisce VMware vRealize Operations Manager: Analisi dell’Attacco
Il 9 agosto 2022, VMware ha emesso un advisory VMSA-2022-0022 che copre un set di vulnerabilità trovate nel suo vRealize Operations Manager Suite (vROPS) che colpisce la versione 8.6.3 del prodotto. Le falle di sicurezza rivelate includono la vulnerabilità di escalation di privilegi tracciata come CVE-2022-31672, le vulnerabilità di divulgazione di informazioni CVE-2022-31673 e CVE-2022-31674, e la vulnerabilità di bypass dell’autenticazione CVE-2022-31675. VMware ha anche rilasciato patch rilevanti per rimediare alle vulnerabilità scoperte nei prodotti VMware colpiti. Si raccomanda inoltre alle organizzazioni di aggiornare alla versione 8.6.4 di VMware vROPS per mitigare la minaccia.
Notativamente, ciascuna delle vulnerabilità scoperte può essere considerata abbastanza moderata in termini di gravità e impatto basato sul suo punteggio CVSS (nel range da 5.6 a 7.2) se sfruttata da sola, tuttavia, quando concatenate insieme, il loro impatto è molto più distruttivo. Il ricercatore di cybersecurity Steven Seeley del Qihoo 360 Vulnerability Research Institute, che ha riportato la questione a VMware, ha rilasciato il exploit PoC su GitHub chiamato “DashOverride”, concatenando tre delle vulnerabilità risolte sopra menzionate (CVE-2022-31675, CVE-2022-31674, e CVE-2022-31672). Secondo la ricercatoria cybersecurity dedicata sul blog di Source Incite, queste falle di sicurezza possono portare a una catena di exploit root remoto pre-autenticato, che potrebbe esporre migliaia di organizzazioni a rischi gravi.
La catena di exploit inizia sfruttando la vulnerabilità CVE-2022-31675, che consente a un attaccante di applicare un id di link dashboard valido per bypassare l’autenticazione. Gli attori delle minacce possono anche trarre vantaggio da questa falla di sicurezza collegando un terzo a un sito web dannoso, che può inserire una backdoor nell’applicazione con un utente dotato di privilegi di amministratore. Un’altra vulnerabilità di divulgazione di informazioni CVE-2022-31674 emerge nella catena di exploit quando si abusa del gestore di pacchetti valido responsabile della scrittura di password sensibili nei file di log.
La seconda parte della catena di exploit coinvolge lo sfruttamento della vulnerabilità di escalation di privilegi CVE-2022-31672, che consente a utenti con privilegi bassi di eseguire lo script eseguibile come root. Per assicurarsi che lo sfruttamento funzioni, gli attori delle minacce devono configurare la variabile d’ambiente prima di chiamare uno script per l’escalation di privilegi.
I crescenti volumi di catene di exploit che colpiscono prodotti popolari applicati da molte organizzazioni in tutto il mondo pongono una sfida pressante ai difensori informatici. La piattaforma Detection as Code di SOC Prime consente ai professionisti della cybersecurity di rilevare proattivamente i tentativi di sfruttamento e mitigare tempestivamente le minacce di qualsiasi scala e sofisticazione, sfruttando il potere della difesa informatica collaborativa. I Cacciatori di Minacce e gli Ingegneri di Rilevamento che aspirano al progresso personale possono anche aderire al Programma Threat Bounty per il contributo di contenuti crowdsourced per creare algoritmi di rilevamento di alta qualità, condividerli con i colleghi del settore e monetizzare le loro competenze su base ricorrente.
