Rilevare CVE-2021-39144: Vulnerabilità Critica di Esecuzione di Codice Remoto in VMware Cloud Foundation tramite la Libreria Open Source XStream

Un altro giorno, un altro exploit emerge nel mondo causando un mal di testa per i praticanti della sicurezza. VMware avverte di un codice di exploit pubblico disponibile per una vulnerabilità critica di esecuzione di codice remoto (RCE), recentemente corretta, (CVE-2021-39144) in VMware Cloud Foundation e NSX Manager. Sfruttando questa falla, attori di minaccia non autenticati potrebbero eseguire il codice dannoso con i massimi privilegi di sistema, senza richiedere alcuna interazione dell’utente.

Rilevamento CVE-2021-39144

Con il codice di exploit pubblico disponibile, una vulnerabilità di gravità 9.8/10 rappresenta una minaccia critica per le organizzazioni a livello globale. Per proteggere la tua infrastruttura organizzativa e rilevare attività potenzialmente dannose nelle prime fasi di attacco, ottieni una versione della regola Sigma dal nostro accorto sviluppatore di Threat Bounty Wirapong Petshagun.

Le rilevazioni sono compatibili con 18 tecnologie SIEM, EDR, e XDR e sono allineate con il framework MITRE ATT&CK® indirizzando le tattiche di Accesso Iniziale, con la tecnica Exploit Public-Facing Applications (T1190) come tecnica corrispondente.

Unisciti al nostro programma Threat Bounty per monetizzare i tuoi contenuti di rilevamento esclusivi mentre codifichi il tuo futuro CV e affini le tue competenze in ingegneria del rilevamento. Pubblicate sul più grande mercato al mondo di rilevamento delle minacce ed esplorate da 7.000 organizzazioni a livello globale, le tue regole Sigma possono aiutare a rilevare minacce emergenti e rendere il mondo un posto più sicuro garantendo al contempo profitti finanziari ricorrenti.

Premi il pulsante Esplora Rilevamenti per accedere istantaneamente alle regole Sigma per CVE-2021-39144, ai link CTI corrispondenti, ai riferimenti ATT&CK e alle idee di caccia alle minacce.

Esplora Rilevamenti

Analisi CVE-2021-39144

La vulnerabilità critica di VMware Cloud Foundation (CVE-2021-39144) si verifica a causa di una configurazione errata nella libreria open source XStream. Secondo l’advisory VMware, un endpoint non autenticato che utilizza XStream per la serializzazione degli input in VMware Cloud Foundation (NSX-V) consente RCE pre-autenticata con privilegi di root. Il bug colpisce le versioni di Cloud Foundation 3.11 e inferiori, mentre le versioni 4.x sono considerate sicure.

La vulnerabilità ha ricevuto il massimo grado di severità di 9.8 su 10 ed è stata immediatamente corretta dal fornitore il 25 ottobre 2022. Notoriamente, anche se VMware ha terminato il supporto generale per NSX-V a gennaio 2022, una patch è stata resa disponibile per i prodotti a fine vita. Inoltre, sono state rilasciate linee guida dedicate per istruire i clienti sull’aggiornamento dei dispositivi NSX-V 6.4.14 su Cloud Foundation 3.x. Gli utenti sono esortati ad aggiornare il prima possibile poiché la disponibilità del codice di exploit pubblico presuppone una valanga di attacchi nel selvaggio simili al focolaio Log4Shell. outbreak. 

Potenzia le tue capacità di rilevamento delle minacce e accelera la velocità di caccia alle minacce equipaggiato con Sigma, MITRE ATT&CK, e Detection as Code per avere sempre algoritmi di rilevamento curati contro qualsiasi TTP avversario o qualsiasi vulnerabilità sfruttabile a portata di mano. Ottieni 800 regole per le CVE esistenti per difenderti proattivamente dalle minacce più importanti. Accedi istantaneamente a 140+ regole Sigma gratis o ottieni tutti gli algoritmi di rilevamento rilevanti su richiesta a https://my.socprime.com/pricing/.