CVE-2022-29799およびCVE-2022-29800の検出：Nimbuspwnとして知られるLinux OSにおける新しい権限昇格脆弱性

4月26日、Microsoft 365 Defender Research Teamは発見しました 新たな脆弱性をいくつか Nimbuspwnと総称されるこれらの脆弱性は、複数のLinuxデスクトップ環境において特権昇格を可能にするものです。新たに検出されたNimbuspwnの欠陥は、CVE-2022-29799およびCVE-2022-29800として特定されています。

これらの欠陥が連鎖すると、ハッカーはルート特権を獲得し、ペイロードを展開し、任意のルートコードの実行を通じてLinuxシステムをさらに侵害することができます。さらに、この新たなNimbuspwnの脆弱性を経由して、危険な活動がエスカレートし、侵害されたLinux環境がランサムウェア攻撃を含む高度な脅威にさらされる可能性があります。

CVE-2022-29799およびCVE-2022-29800検出: Nimbuspwn

最近明らかになったNimbuspwn脆弱性に関連する脅威への可視性を提供するため、SOC Prime TeamはSOC Primeのプラットフォームで利用可能な専用のSigmaルールを提供しました。セキュリティ専門家は、プラットフォームに登録するか、既存の認証情報でログインしてこのルールにアクセスするよう促されています。

可能なNimbuspwn LPE活動（プロセス生成経由）

この検出は、20のSIEM、EDR、およびXDRソリューションで使用可能であり、最新のMITRE ATT&CK® フレームワークバージョンに合わせ、特権昇格の戦術と対応する特権昇格の技術利用法（T1068）に対応して、敵のTTPへの可視性を向上させます。

使用中のSIEMやその他のセキュリティソリューションを、リアルタイムでSOCコンテンツに常に更新するために、チームはSOC Primeのプラットフォームで利用可能な包括的な検出スタックを探検することを歓迎されています。「 検出を見る 」ボタンをクリックしてください。群衆参加のイニシアティブを通じてサイバー防御を強化しようとするサイバーセキュリティ愛好家にとって、Threat Bounty Programに参加することは、脅威ハンティングとコンテンツ開発スキルを向上させ、より安全なデジタル未来のために協力するための素晴らしい出発点となり得ます。

検出を見る Threat Bountyに参加する

Nimbuspwnの概要

Microsoftの調査によると、研究者は、 networkd-dispatcher との名のsystemdコンポーネントを調査中に、一連のセキュリティギャップを明らかにしました。具体的には、ディレクトリトラバーサルの問題（CVE-2022-29799）およびシンリンクレースと使用時チェック（CVE-2022-29800）を特定し、それらを連結することでLinuxシステムにおいてルート特権を取得し、侵害された環境にバックドアを実行することができるとされます。

Nimbuspwnの脆弱性を利用した脅威に対処するために、networkd-dispatcherのユーザーは、インスタンスを最新のソフトウェアバージョンに更新するよう促されています。さらに、セキュリティ体制を向上させようとする進歩的な組織は、Linuxシステムで発見された新たな欠陥の高リスクのため、常に環境を監視する措置をとるべきです。

プロアクティブな脆弱性管理アプローチを導入することで、組織は以前は知られていなかった脅威やエクスプロイトをタイムリーに明らかにし、軽減することができます。「 SOC PrimeのDetection as Codeプラットフォーム 」を活用することで、チームは攻撃ライフサイクルの初期段階で脅威を検出し、サイバー防御の能力を継続的に強化することができます。