CVE-2022-30333 Detection: New Security Hole in the UnRAR Utility

アメリカ合衆国クリティカルインフラセキュリティ機関（CISA）は、新しく積極的に悪用されているディレクトリトラバーサルの脆弱性を文書化して、既知の悪用脆弱性のカタログを拡大しました。問題のバグは、CVE-2022-34713とタグ付けされているRCEの脆弱性と、CVE-2022-30333として記録されているパストラバーサルの脆弱性です。Microsoftは、CVE-2022-34713の脆弱性が Follinaに似た DogWalk のMicrosoft Windowsサポート診断ツールで今夏初めに明らかにされたパストラバーサルセキュリティホールの変異型であると認識しています。

CVE-2022-30333として追跡されている別の欠陥は、LinuxおよびUnixバージョンのUnRARユーティリティに存在します。攻撃者は、武装されたRARアーカイブを開かせることでこの脆弱性を引き起こします。

どちらの高重度な欠陥も、自然環境で悪用されています。

CVE-2022-30333を検出する

組織への潜在的な侵入影響を最小限に抑えるために、以下の熱心な脅威ハンティングエンジニアチームによって発行されたSigmaルールを使用してください。 SOCプライム:

Zimbraメールサーバー上でのウイルス対策サービス設定後の疑わしいJSPファイルアップロード（via file_event）

この検出は、Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、Microsoft Defender for Endpoint、CrowdStrike、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、RSA NetWitness、Snowflake、Apache Kafka ksqlDB、Securonix、AWS OpenSearchのSIEM、EDR、XDRプラットフォームに対する翻訳があります。

The 上記のSigmaルールは MITRE ATT&CK®フレームワーク v.10に準拠しており、永続性の戦術およびサーバーソフトウェアコンポーネント（T1505）技術に対応しています。 v.10, addressing the Persistence tactic and Server Software Component (T1505) technique.

登録されていないユーザーでも、検索エンジン経由で利用可能なSigmaルールのコレクションを閲覧できます — 脅威インテリジェンスとSOCコンテンツのワンストップショップです。「 脅威コンテキストを探る 」ボタンを押して、検出ルーチンを次のレベルに進めてください。

SOCの専門家は、SOC Primeプラットフォームに登録して無料のコミュニティサブスクリプションプランを取得できます。「 検出＆ハント 」をクリックして、26以上のSIEM、EDR、XDRソリューションと整合する検出アルゴリズムの網羅的なコレクションにアクセスしてください。

検出＆ハント 脅威コンテキストを探る

CVE-2022-30333の説明

CVE-2022-30333の問題分析は、2022年6月に SonarSource によって共有された調査で初めて登場しました。観察された攻撃に基づいて、攻撃者はこのファイル書き込み脆弱性をRCE攻撃に利用して、6万2千以上のインターネットに接続されたホストを持つZimbraメールサーバーを妥協させます。この欠陥は、脅威アクターが抽出操作中にファイルに書き込むことを可能にします。悪用の試みが成功した場合、脅威アクターは妥協したメールサーバーに保存されているすべてのメールにアクセスを得ます。このレベルのアクセスは、高い確率でさらなるエクスプロイトとより機密性の高いデータへのアクセスをもたらします。

RarLabは、セキュリティ欠陥に対処するための公式パッチをリリースしました。この修正は、6.12バージョンのバイナリ（オープンソースバージョン6.1.7）に含まれており、公式ベンダーのウェブサイトからダウンロード可能です。 ベンダーによれば、すべてのWinRARバージョンはこの脆弱性の影響を受けません。

に登録する SOCプライムのプラットフォーム により、26以上のベンダー固有のSIEM、EDR、XDRフォーマットに翻訳された検証された検出アルゴリズムの豊富なプールにアクセスできます。正確でタイムリーな検出は、24/7/365で効率的なSOCを編成する鍵であり、エンジニアがより高度なタスクに取り組むことができます。