Rilevamento dello sfruttamento CVE-2022-41974, CVE-2022-41973, CVE-2022-3328: Tre vulnerabilità Linux concatenate per ottenere privilegi root completi
Indice:
Gli esperti di sicurezza della Threat Research Unit di Qualys avvertono di una nuova vulnerabilità (CVE-2022-3328) in Snapd, un popolare strumento di gestione del software per Linux, che potrebbe essere sfruttata per l’escalation dei privilegi locali e l’esecuzione di codice arbitrario. Il problema di sicurezza in evidenza può essere concatenato con vulnerabilità più vecchie rivelate in multipathd (CVE-2022-41973 & CVE-2022-41974) per elevare i privilegi a root sui sistemi Linux.
Rilevare i tentativi di sfruttamento di CVE-2022-41974, CVE-2022-41973, CVE-2022-3328
Poiché la catena di exploit rappresenta un rischio significativo per i sistemi Linux, gli esperti di sicurezza necessitano di fonti affidabili di contenuti di rilevamento per identificare eventuali attacchi contro l’ambiente organizzativo dalle prime fasi del suo sviluppo. Il team di SOC Prime ha rilasciato un set di regole Sigma per rilevare i tentativi di sfruttamento di CVE-2022-3328, CVE-2022-41973 e CVE-2022-41974:
Possibili modelli di sfruttamento e post-sfruttamento di CVE-2022-3328 in Snap-Confine (via cmdline)
Questa regola rileva i modelli di sfruttamento di condizioni di gara in Snap-confine must_mkdir_and_open_with_perms() basato sulla sicurezza ricerca di Qualys. Il rilevamento può essere utilizzato su 18 tecnologie SIEM, EDR e XDR ed è allineato con il quadro MITRE ATT&CK® rivolto alla tattica di escalation dei privilegi con la tecnica di sfruttamento per l’escalation dei privilegi corrispondente (T1068).
Possibile catena di sfruttamento di CVE-2022-41974 e CVE-2022-41973 [multipathd] (via auditd)
Possibile catena di sfruttamento di CVE-2022-41974 e CVE-2022-41973 [multipathd] (via file_event)
Le regole sopra rilevano i modelli di sfruttamento di bypass dell’autorizzazione aka attacco symlink in multipathd (creazione symlink) e sono anch’esse basate sulla ricerca di Qualys. I rilevamenti possono essere applicati su 18 tecnologie SIEM, EDR e XDR e sono allineati con ATT&CK affrontando la tattica di escalation dei privilegi con la tecnica di sfruttamento per l’escalation dei privilegi corrispondente (T1068).
Desideroso di unirti alle forze collettive di difesa informatica e guadagnare denaro mentre rendi il mondo un posto più sicuro? Iscriviti al nostro Programma di Ricompensa per Minacce, pubblica regole Sigma esclusive nel più grande mercato di rilevamento delle minacce, migliora le tue competenze in Ingegneria del Rilevamento e connettiti con esperti del settore ricevendo benefici finanziari per il tuo contributo.
Premi il Esplora Rilevamenti pulsante per esaminare l’elenco estensivo di regole Sigma che coprono i casi d’uso di Linux. Accedi al contenuto di rilevamento per minacce legate a Linux, accompagnato da link CTI, riferimenti ATT&CK e idee di caccia alle minacce.
Catena di sfruttamento delle vulnerabilità Linux: Analisi degli attacchi ad alto impatto
Nel periodo 2021-2022, c’è stato un aumento significativo del consumo di contenuti di rilevamento per le minacce Linux, il che indica una pressante necessità di protezione degli endpoint contro gli attacchi informatici emergenti che colpiscono gli ambienti basati su Linux.
Il team di ricerca Qualys ha scoperto in precedenza due vulnerabilità in Linux multipathd soprannominate “Leeloo Multipath” che possono portare a un bypass dell’autorizzazione e attacchi symlink. Il daemon multipathd è un’utilità progettata per controllare i percorsi falliti operando come root nell’installazione predefinita di sistemi operativi Linux come Ubuntu Server.
I difetti menzionati sopra possono essere concatenati insieme a una terza vulnerabilità recentemente scoperta, che può comportare rischi di sicurezza informatica molto più elevati. Lo sfruttamento riuscito di tutte e tre le vulnerabilità può consentire agli aggressori di ottenere pieni privilegi di root sui sistemi Linux compromessi.
I difetti scoperti in precedenza sono tracciati come CVE-2022-41974 e CVE-2022-41973, con il primo che porta a un bypass dell’autorizzazione (punteggio CVSS 7.8) e il secondo potenzialmente a causare un attacco symlink (punteggio CVSS 7.0). Entrambe le vulnerabilità, indipendentemente da come vengono sfruttate — da sole o concatenate — possono portare a un’escalation locale dei privilegi a root.
Il nuovo bug di sicurezza tracciato come CVE-2022-3328 colpisce la funzione Snap-confine su Linux OS, che è applicata da Snapd per costruire l’ambiente di esecuzione per le app Snap. Attualmente, non ci sono mitigazioni disponibili per CVE-2022-3328. Sebbene la vulnerabilità non possa essere sfruttata da remoto, i rischi dei suoi tentativi di sfruttamento stanno aumentando, a condizione che gli attori delle minacce eseguano il login come utenti non privilegiati consentendo loro di ottenere privilegi di root. Questo problema di sicurezza è stato introdotto a febbraio 2022 dalla patch per un’altra vulnerabilità di condizione di gara Snapd tracciata come CVE-2021-44731. I difensori informatici raccomandano vivamente di applicare la patch per questa vulnerabilità per difendersi proattivamente da potenziali intrusioni.
Le vulnerabilità facili da sfruttare nelle applicazioni software popolari stanno esponendo migliaia di aziende globali a rischi reputazionali, quindi la rilevazione proattiva dello sfruttamento delle vulnerabilità mantiene una delle posizioni principali tra le priorità dei contenuti SOC. Raggiungi 700 algoritmi di rilevamento per CVE attuali ed esistenti sfruttando la difesa informatica collettiva — ottieni 120+ regole Sigma gratis su https://socprime.com/ oppure l’intero stack di rilevamento con On Demand su https://my.socprime.com/pricing/. Approfitta della nostra offerta Cyber Monday per On Demand per ottenere fino a 200 regole Sigma premium a tua scelta entro la fine del 2022.
