Rilevamento delle vulnerabilità prioritarie nella Direttiva Operativa Vincolante 22-01 della CISA

Per consentire alle organizzazioni di affrontare i rischi posti dalle vulnerabilità critiche delineate nella Direttiva Operativa Vincolante (BOD) 22-01, SOC Prime fornisce un elenco esteso di rilevamenti curati per identificare possibili tentativi di sfruttamento nella tua infrastruttura e isolare asset potenzialmente colpiti mentre le procedure di patching sono in corso.

La crescente sofisticazione delle attività dannose che minacciano i settori privato e pubblico a livello globale richiede alle organizzazioni di rafforzare le proprie capacità di difesa informatica per rimanere un passo avanti agli attaccanti. Applicare patch alle vulnerabilità conosciute è tra le priorità più alte per difendersi proattivamente contro le minacce emergenti.
Il 3 novembre 2021, l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA) ha rilasciato la Direttiva Operativa Vincolante (BOD) 22-01 mirata ad aiutare le organizzazioni a mitigare i rischi critici delle vulnerabilità conosciute sotto sfruttamento attivo. BOD 22-01 è obbligatoria per tutte le agenzie federali degli Stati Uniti, tuttavia, è fortemente raccomandato a tutte le altre organizzazioni, comprese le aziende private, le imprese in vari settori e le aziende statali, di dare priorità al patching delle vulnerabilità in evidenza.

Tutte le questioni di sicurezza critiche sono fornite nel catalogo pubblico emesso da CISA insieme alla Direttiva 22-01. Lo scopo principale di questo catalogo è monitorare e riassumere le specifiche lacune di sicurezza per consentire alle organizzazioni a livello globale di affrontare possibili rischi e resistere alle attacchi in modo più efficiente.

Catalogo delle Vulnerabilità Sfruttate Conosciute da CISA

CISA enumera 291 Vulnerabilità Comuni ed Esposizioni (CVE) che devono essere urgentemente corrette dalle agenzie federali. Sebbene le patch per l’intero elenco di bug debbano essere applicate il più presto possibile, la priorità è altamente rilevante per consentire la loro implementazione graduale in tre fasi: 

Massima Priorità

Alcune delle vulnerabilità nell’elenco sono già scadute, pertanto, le organizzazioni dovrebbero urgentemente controllare se abbiano migliorato la loro protezione di sicurezza con le patch esistenti. Tali vulnerabilità includono gli exploit più gravi che hanno scosso il mondo digitale nel 2020-2021, inclusi PrintNightmare, SigRed, Zerologon, CryptoAPI, e Pulse Connect Secure flaws di sicurezza informatica. In totale, ci sono 15 CVE scaduti sulla lista di CISA che richiedono un immediato rimedio.

Alta Priorità

Oltre il 30% (100) delle vulnerabilità sul catalogo delle vulnerabilità gestito da CISA sono prioritarie per essere corretti in meno di due settimane, fino al 17 novembre 2021, a causa della gravità degli exploit e del loro alto livello di rischio.

Priorità Media

Per la maggior parte dei bug nell’elenco (176), le procedure di rimedio devono essere implementate fino al 3 maggio 2022, il che consente alle organizzazioni di avere più di 6 mesi di tempo per patchare.

Rileva le Vulnerabilità CISA BOD 22-01 con la piattaforma Detection as Code di SOC Prime

In risposta al catalogo gestito da CISA delineato in BOD 22-01, il team di contenuti SOC Prime fornisce l’elenco dei contenuti raccomandati per rilevare itentativi di sfruttare quelle vulnerabilità conosciute. Tutti i rilevamenti sono disponibili sulla piattaforma Detection as Code di SOC Prime e organizzati negli elenchi secondo le priorità di rimedio basate sulla gravità e sul livello di rischio degli exploit (massimo e alto) permettendo ai team di sicurezza di raggiungere prima i contenuti più rilevanti.

L’approccio introdotto da SOC Prime si basa sulla prospettiva di rilevamento e caccia delle minacce, consentendo alle organizzazioni di ottenere il quadro completo dei silos di sicurezza in anticipo e di dare facilmente priorità a ciò che ha urgente bisogno di patching. Sfruttando lo stack di rilevamento selezionato dagli esperti di SOC Prime e organizzato secondo le priorità di rimedio, le organizzazioni possono cacciare gli attori dannosi che sfruttano minacce critiche per compromettere gli asset organizzativi. Consigliamo di sfruttare il contenuto dedicato di rilevamento di SOC Prime come inneschi per l’isolamento di sistemi potenzialmente colpiti e utenti compromessi.

Rilevamenti per CVE di Massima Priorità

Qui puoi trovare l’elenco dei principali contenuti di rilevamento che abbiamo raccolto per aiutare i professionisti della sicurezza ad affrontare i CVE di massima priorità basati sul la Direttiva 22-01 emessa da CISA:

CVE-2021-22893 — Esecuzione di Codice Remoto di Pulse Connect Secure (PCS)

CVE-2021-26855 — Catenaccia di Sfruttamento del Pannello di Controllo (ECP) di Microsoft OWA Exchange

CVE-2021-26857 — Catenaccia di Sfruttamento del Pannello di Controllo (ECP) di Microsoft OWA Exchange

CVE-2021-26858 — Catenaccia di Sfruttamento del Pannello di Controllo (ECP) di Microsoft OWA Exchange

CVE-2021-27065 — Catenaccia di Sfruttamento del Pannello di Controllo (ECP) di Microsoft OWA Exchange

CVE-2020-1350 — Vulnerabilità di Esecuzione di Codice Remoto del Server DNS Windows “SigRed”

CVE-2021-34527 — “Vulnerabilità di Esecuzione di Codice Remoto dello Spooler di Stampa di Microsoft Windows “PrintNightmare”

CVE-2020-1472 — “ZeroLogon” Vulnerabilità di Elevazione dei Privilegi di NetLogon

CVE-2020-0601 — Vulnerabilità API/ECC di Windows 10 (CryptoAPI di Windows)

CVE-2020-8260 — Esecuzione di Codice Remoto di Pulse Connect Secure

CVE-2019-11510 — Vulnerabilità di Lettura di File Arbitraria di Pulse Secure VPN (elenco COVID-19-CTI)

CVE-2021-22900​  — Vulnerabilità di Caricamento di File Arbitrario di Pulse Connect Secure

CVE-2021-22894​ — Esecuzione di Codice Remoto di Pulse Connect Secure Collaboration Suite

CVE-2021-22899​ — Esecuzione di Codice Remoto di Pulse Connect Secure

CVE-2020-8243 — Esecuzione di Codice Arbitrario di Pulse Connect Secure

The l’elenco completo dei rilevamenti che affrontano tutti i CVE di massima priorità è disponibile sulla piattaforma Detection as Code di SOC Prime.

Rilevamenti per CVE di Alta Priorità

Il seguente elenco include contenuti di rilevamento curati disponibili sulla piattaforma SOC Prime che coprono le vulnerabilità conosciute sfruttate che possono essere classificate come ad alta priorità basate sul catalogo gestito da CISA corrispondente:

CVE-2021-1675 — Esecuzione di Codice Remoto dello Spooler di Stampa di Windows

CVE-2021-22986 — Esecuzione di Codice Remoto autenticata di F5 iControl REST

CVE-2021-1879  — Motore del Browser Apple iOS Webkit XSS

CVE-2021-21166 — Vulnerabilità di Overflow del Buffer Heap di Google Chrome in WebAudio

CVE-2021-21224 — Motore JavaScript di Chromium V8 Esecuzione di Codice Remoto

CVE-2021-21972 — Esecuzione di Codice Remoto del Server VMWare vCenter

CVE-2021-21985 — Esecuzione di Codice Remoto del Server VMWare vCenter

CVE-2021-22005 — Caricamento di File del Server VMWare vCenter

CVE-2021-22205 — Esecuzione di Codice Remoto di GitLab Community ed Enterprise Editions dalla versione 11.9

CVE-2021-22502 — Esecuzione di Codice Remoto del Server di Micro Focus Operation Bridge Report (OBR)

CVE-2021-26084 — Esecuzione di Codice Arbitrario del Server Atlassian Confluence

CVE-2021-26411 — Vulnerabilità di Corruzione della Memoria di Microsoft Internet Explorer e Edge

CVE-2021-30551 — Confusione di Tipo del Motore V8 di Chromium

CVE-2021-30554 — Uso dopo Liberazione WebGL di Google Chrome

CVE-2021-31207 — Vulnerabilità di Bypass della Funzione di Sicurezza del Server Microsoft Exchange

CVE-2021-31956 — Vulnerabilità di Elevazione dei Privilegi del NTFS di Microsoft Windows

CVE-2021-31979 — Elevazione dei Privilegi del Kernel di Windows

CVE-2021-33771 — Elevazione dei Privilegi del Kernel di Windows

CVE-2021-34473 — Vulnerabilità di Esecuzione di Codice Remoto del Server Microsoft Exchange

CVE-2021-34523 — Vulnerabilità di Elevazione dei Privilegi del Server Microsoft Exchange

CVE-2021-35211 — Vulnerabilità di Escape della Memoria Remota di SolarWinds Serv-U

CVE-2021-36942 — Spoofing di Microsoft LSA

CVE-2021-38647 — Infrastruttura di Gestione Aperta (OMI) di Microsoft Azure Esecuzione di Codice Remoto

CVE-2021-40444 — Vulnerabilità di Esecuzione di Codice Remoto di Microsoft MSHTML

CVE-2021-40539 — Bypass dell’Autenticazione della Versione 6113 e Precedenti di Zoho Corp. ManageEngine ADSelfService Plus

CVE-2021-41773 — Vulnerabilità di Traversal del Percorso del Server Apache HTTP

CVE-2021-42013 — Traversal del Percorso del Server Apache HTTP 2.4.49 e 2.4.50

Fai riferimento all’ l’elenco completo dei rilevamenti elenco per i CVE di alta priorità tramite la piattaforma Detection as Code di SOC Prime.

In questo articolo, trattiamo i contenuti di rilevamento più rilevanti per i CVE critici principali elencati nel catalogo delle vulnerabilità di CISA. SOC Prime arricchisce costantemente la piattaforma Detection as Code con i contenuti più aggiornati e nuovi rilevamenti che affrontano i CVE coperti da BOD 22-01 sono sotto ricerca e sviluppo per la cura e la consegna nelle prossime settimane.

Cerchi i contenuti di rilevamento delle minacce più recenti? Esplora la piattaforma Detection as Code di SOC Prime che distribuisce nativamente contenuti di rilevamento basati su Sigma tramite abbonamento a oltre 20 soluzioni SIEM e XDR aiutando i team di sicurezza di tutto il mondo a difendersi dagli attacchi digitali in modo più facile, veloce ed efficiente. Per potenziare la difesa collaborativa del cyber, unisciti a l’iniziativa di crowdsourcing di SOC Prime permettere ai cacciatori di minacce e ai ricercatori di tutto il mondo di monetizzare i propri contenuti di rilevamento mentre contribuiscono a un futuro più sicuro.