CVE-2022-22960 および CVE-2022-22954 検出: CISAが未パッチVMware脆弱性の悪用試行を警告

2022年5月18日に、 CISAは発行しました 既知の脆弱性であるCVE-2022-22954およびCVE-2022-22960のVMware製品に対する潜在的な悪用試行の警告通知を組織に発表しました。悪用されると、明らかになった欠陥により、攻撃者はサーバー側で悪意のあるテンプレート注入を実行するための許可を得ます。より具体的には、CVE-2022-22954の悪用はリモートコード実行につながる可能性があり、一方でCVE-2022-22960の欠陥は権限昇格に利用される可能性があります。リスクを倍増させるのは、新たに発見されたVMwareのバグが連鎖攻撃の源となる可能性があるという事実です。

CVE-2022-22954およびCVE-2022-22960の悪用試行を検出する

CVE-2022-22954 VMwareの欠陥に関連する悪用パターンを検出するために、SOC PrimeのDetection as Codeプラットフォームは専用のSigmaルールのバッチを提供しています：

CVE-2022-22954の悪用試行を検出するためのSigmaルール

また、サイバーセキュリティの専門家は、CVE-2022-22960検出のために新たにリリースされたSigmaルールにアクセスできます。これは、当社の優れたThreat Bounty開発者 Sittikorn Sangrattanapitak:

VMware権限昇格の可能性 [CVE-2022-22960]（プロセス作成経由）

これらの厳選されたSigmaルールにアクセスするには、プラットフォームにログインまたは登録して、最もスムーズな検出体験を確保してください。すべての検出はMITRE ATT&CK®フレームワークに準拠しており、脅威の可視性を提供し、SOC Primeのプラットフォームがサポートする大多数のSIEM、EDR、XDRソリューションで利用可能です。

VMware製品に影響を与える複数の既知の脆弱性の悪用試行を検出するために、SOC Primeのプラットフォームで利用可能な広範な検出アルゴリズムコレクションを探索してください。 検出を表示 ボタンを押して専用のルールキットにアクセスしてください。違いを生み出すことを目指し、自身の貢献で検出コンテンツライブラリを充実させようとするサイバーセキュリティの専門家は、Threat Bounty Programに参加し、プロフェッショナルスキルを反復的な経済的利益に変える機会を得ることが促されています。

検出を表示 Threat Bountyに参加

VMwareの脆弱性解析

VMwareは1か月前にCVE-2022-22954およびCVE-2022-22960の更新をリリースしましたが、関連する更新の公開から48時間以内に修正されていないVMwareインスタンスで明らかになった欠陥が攻撃者によって迅速に悪用されるのを防ぐことはできませんでした。 CISAのBOD 22-01、連邦機関には、上記の脆弱性に対して更新を緊急に実施し、セキュリティリスクを最小限に抑えるための即時行動を取るよう求められました。

最新の情報によると、 サイバーセキュリティ諮問、CVE-2022-22954とCVE-2022-22960は組み合わされて完全なシステムコントロールを得るために利用される可能性があります。被害者の一人は、攻撃者がまずCVE-2022-22954を利用して任意のシェルコマンドを実行し、次にVMwareの第2の欠陥を利用して権限昇格を行う攻撃チェーンを利用したと報告しました。ルートアクセスを得ることで、攻撃者はログを削除し、権限を昇格し、横移動を適用して侵害されたシステムのコントロールをさらに拡大しました。さらに、サイバーセキュリティ研究者は、CVE-2022-22954の悪用によるDingo J-spy webshellの拡散が観察された別のインシデントも確認しました。

サイバーセキュリティ研究者は以前、VMware vCenterで明らかにされた他のいくつかの重大な脆弱性を観察しました。2021年2月、 CVE-2021-21972 という9.8のCVSSスコアを持つリモートコード実行の脆弱性がvCenter Serverプラグインで特定されました。未発見時、GitHubでPoCが翌日には利用可能であったため、侵害されたインスタンスの大量スキャンにつながると報告されました。

2021年の後半、 CVE-2021-22005 という別の重大な脆弱性がVMware vCenter Serverで確認されました。この欠陥は野放しにされ、広範な重要なインフラを高リスクにさらしたため、CISAは 専用のアドバイザリ を発行し、対応策をリストしました。

CVE-2022-22954およびCVE-2022-22960の悪用に対する対応策として、影響を受けるVMware製品を直ちに最新バージョンに更新すべきです。また、関連する連鎖攻撃のリスクを最小限に抑えるために、組織は影響を受けるソフトウェアバージョンをシステムから削除することが推奨されます。

時代に先駆ける方法を模索する先進的な組織は、セキュリティ投資の価値を最大化するためのSOC Primeのソリューションを最大限に活用できます。 SOC PrimeのDetection as Codeプラットフォームに参加することで、セキュリティの専門家は、サイバー防御の能力が加速する様を自分の目で確認することができ、どのようにして利益を享受できるかを理解できます。