CVE-2022-31672 検出: VMware vRealize Operations Management Suiteのパッチ済み脆弱性を利用した認証前リモートコード実行エクスプロイト

攻撃チェーン攻撃で利用される可能性のあるVMware製品のセキュリティ欠陥は、2022年5月以来、サイバー脅威の分野で脚光を浴びています。その時、CISAは警告を発しました。 既知のリモートコード実行（RCE）および特権昇格の脆弱性2022年8月9日、VMwareは別の脆弱性のセットに修正を行いました。これらはVMware vRealize Operations Manager Suite（vROPS）の事前認証RCEエクスプロイトにチェーンされる可能性があります。VMwareは、関連する勧告も発行しました。 VMSA-2022-0022、これらのセキュリティ欠陥の詳細を網羅しています。VMSA-2022-0022勧告に記載されている攻撃チェーンで利用可能な脆弱性には、MainPortalFilter UI認証バイパス（CVE-2022-31675）、SupportLogAction情報漏洩（CVE-2022-31674）、およびgenerateSupportBundle VCOPS_BASE特権昇格（CVE-2022-31672）が含まれます。各セキュリティ問題の影響は低レベルの深刻度ですが、これらがチェーンされると、未認証の攻撃者が影響を受けたインスタンスで悪意のあるコードを実行する能力を得ます。

CVE-2022-31672 の検出：エクスプロイトチェーンの第二部

世界中の数千の組織によって利用される人気のある製品の脆弱性が見つかると、チェーンされることで深刻な脅威をもたらす可能性があります。SOC PrimeのDetection as Codeプラットフォームは、 Sigmaルール をキュレートし、VMwareのVMSA-2022-0022勧告で取り上げられているRCE攻撃チェーンの第二部で使用されるCVE-2022-31672として追跡される特権昇格の脆弱性を検出します。サイバーセキュリティ専門家は、以下のリンクからSOC Primeチームのコンテンツ開発者によって作成された専用検出アルゴリズムにアクセスできます。

VMWare vRealizeの特権昇格パターン [CVE-2022-31672] （cmdline経由）

このSigmaルールは、業界をリードするクラウドネイティブおよびオンプレミスソリューションを含む19のSIEM、EDR、およびXDRテクノロジーで適用可能です。脅威の可視性を高め、サイバーセキュリティの有効性を向上させるために、検出は MITRE ATT&CK® フレームワーク に合わせており、対応するコマンドおよびスクリプトインタプリタ（T1059）およびハイジャック実行フロー（T1574）の敵対技術を使用して、実行および防御回避の戦術に対処します。サイバーセキュリティ専門家は、このSigmaルールを適用して、VMware製品に影響を与える攻撃チェーンをレバレッジする関連する脅威を即座にハントすることもできます。 SOC PrimeのQuick Huntモジュール.

人気のあるVMware製品に影響を及ぼす現在および新たに発生する脅威を検出するために、サイバーセキュリティ専門家はSOC Primeのプラットフォームで利用可能な専用Sigmaルールのリスト全体を活用することが歓迎されます。クリックして 検出＆ハント 以下のボタンを押すと、関連する高忠実度アラートと検証済みのハンティングクエリの広範なコレクションにアクセスし、攻撃者よりも先んじることができます。手元にある詳細なサイバー脅威のコンテキストをお探しですか？SOC PrimeでVMware関連の脅威をブラウズし、MITRE ATT&CKリンク、CTI参照、および関連するSigmaルールを一覧にした包括的なコンテキスト情報に即座に掘り下げることができます。

検出＆ハント 脅威コンテキストを探る

VMware vRealize Operations Managerに影響を与える攻撃チェーン：攻撃分析

2022年8月9日、VMwareは勧告を発行しました。 VMSA-2022-0022 vRealize Operations Manager Suite（vROPS）で見つかった一連の脆弱性をカバーしており、製品バージョン8.6.3に影響を与えます。明らかにされたセキュリティ欠陥には、CVE-2022-31672として追跡される特権昇格の脆弱性、CVE-2022-31673およびCVE-2022-31674の情報漏洩脆弱性、そしてCVE-2022-31675の認証バイパス脆弱性が含まれています。VMwareは、影響を受けたVMware製品の脆弱性を修正するための関連するパッチもリリースしています。組織には、脅威を軽減するために修正されたVMware vROPSバージョン8.6.4にアップグレードすることも推奨されます。

特に、発見された各脆弱性は、そのCVSSスコア（5.6から7.2の範囲）に基づいて、独自に悪用された場合、深刻度と影響の観点でかなり中程度のものとして考慮されます。しかし、これらがチェーンされると、その影響ははるかに破壊的になります。脆弱性をVMwareに報告したQihoo 360 Vulnerability Research Instituteのサイバーセキュリティ研究者Steven Seeleyは、以下の GitHubでPoCエクスプロイト を公開しました。「DashOverride」と名付けられ、上記のパッチ済みの脆弱性3つ（CVE-2022-31675、CVE-2022-31674、CVE-2022-31672）をチェーンしました。特設された Source Inciteブログでのサイバーセキュリティ研究によれば、これらのセキュリティ欠陥は事前認証リモートルートエクスプロイトチェーンにつながり、数千の組織を深刻なリスクにさらす可能性があります。

エクスプロイトチェーンは、脆弱性CVE-2022-31675を利用することで始まります。これにより、攻撃者は有効なダッシュボードリンクIDを適用して認証をバイパスすることができます。このセキュリティ欠陥を利用して、サードパーティを悪意のあるウェブサイトにリンクさせ、管理者権限を持つユーザーをアプリケーションにバックドアインストールすることもできます。情報漏洩の脆弱性CVE-2022-31674は、ログファイルに機密パスワードを書き込む担当の有効なPakマネージャを悪用することで、攻撃チェーンに登場します。

攻撃チェーンの第二部では、CVE-2022-31672という特権昇格の脆弱性を利用して、低特権のユーザーがルートとして実行可能なスクリプトを実行できるようにします。攻撃が成功するためには、攻撃者は特権昇格のためにスクリプトを呼び出す前に環境変数を設定する必要があります。

世界中の多数の組織によって適用されている人気のある製品に影響を与えるエクスプロイトチェーンの増加は、サイバー防御者にとって緊急の課題を引き起こします。 SOC PrimeのDetection as Codeプラットフォーム は、サイバーセキュリティ専門家が積極的に攻撃の試みを検出し、あらゆる規模と巧妙さを持つ脅威をタイムリーに軽減することを可能にします。共同サイバー防御の力を利用して、脅威ハンターや検出エンジニアは、 Threat Bounty Program に参加して、クラウドソースコンテンツの寄稿を行い、高品質の検出アルゴリズムを作成し、業界の仲間と共有し、スキルを継続的に収益化することができます。