CVE-2022-22954 検出:RCE攻撃の基盤を築く重大な脆弱性

[post-views]
4月 12, 2022 · 5 分で読めます
CVE-2022-22954 検出:RCE攻撃の基盤を築く重大な脆弱性

先週、VMware は、さまざまな深刻度レベルの 8 つの脆弱性に対処するためのパッチを適用するようユーザーに促すアドバイザリーを発表しました。未パッチのバグは、VMware Workspace ONE Access、Identity Manager (vIDM)、vRealize Automation (vRA)、Cloud Foundation、および Suite Lifecycle Manager の以下の製品を危険にさらす可能性があります。CVSS スコア 9.8 の中で最も簡単に狙われるのは、CVE-2022-22954 として追跡されるサーバー側テンプレート インジェクションのリモート コード実行脆弱性です。

CVE-2022-22954 を検出

攻撃者は、CVE-2022-22954 を利用して VMware Workspace ONE Access Freemarker サーバー側テンプレート インジェクションを実行する攻撃を開始する可能性があります。 Sigma 以下のルールをご利用ください。これは、 SOC Prime チーム の才能あるメンバーによって開発され、システム内の関連する疑わしい活動をタイムリーに追跡するために役立ちます。

VMware CVE-2022-22954 のエクスプロイト試行の可能性 (Webサーバー経由)

この検出は以下の SIEM、EDR & XDR プラットフォームで利用できます: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, および AWS OpenSearch。

このルールは最新の MITRE ATT&CK® フレームワーク v.10 に準拠しており、公開アプリケーションのエクスプロイト (T1190) を主な手法として、初期アクセスの戦術に対応しています。

SOC Prime Platform の Threat Detection Marketplace リポジトリで CVE-2022-22954 に関連する検出コンテンツの更新をフォロー こちら.

あなたは経験豊富な脅威検出コンテンツ開発者ですか? Threat Bounty Program を通じて、世界最大のサイバー防御コミュニティの力を活用し、あなたの検出コンテンツを共有し、貴重な入力に対して継続的な報酬を得てください。

検出を見る Threat Bounty に参加

CVE-2022-22954 分析

CVE-2022-22954 として追跡される重大なリモートコード実行脆弱性は、VMware Workspace ONE Access および Identity Manager に存在しています。このバグは前例のないものではありません。2022 年 9 月下旬に、 CVE-2021-22005 によって、攻撃者がネットワーク経由で脆弱なシステムに RCE 攻撃を行い、ルート特権を取得して vCenter Server に到達することが可能になりました。この新たな RCE の欠陥により、攻撃者はサーバー側テンプレートインジェクションへのネットワークアクセスを介してリモートコード実行に至る可能性があります。さらに詳しいエクスプロイトの詳細は CVE-2022-22954 PoC.

VMware パッチ、2022 年 4 月 6 日にリリースされ、さまざまな深刻度レベルの VMware 製品における複数のセキュリティ問題に対処しています。その中には 5 つのクリティカルな問題も含まれています。CVE-2022-22954 の成功した軽減のために、影響を受けたすべての VMware 製品のユーザーに、最新のパッチを適用するか、利用可能な回避策を確認し、さらなる遅延なしに適用することを強くお勧めします。

参加する SOC Prime の Detection as Code プラットフォームに参加することで、ハンティング能力を合理化し、業界のリーダーによって作成された世界最大のライブ検出コンテンツプールへのアクセスを解禁できます。自分の検出コンテンツで Detection as Code プラットフォームを強化することで、世界中のサイバーコミュニティに貢献することへ熱意を持っていますか?我々の Threat Bounty Program に参加して、安全な未来を共に創造しませんか?

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース