CVE-2022-33891 検出: 新しいApache Sparkシェルコマンドインジェクションの脆弱性

最新の SOC PrimeのDetection as Code Innovationレポートによると、脆弱性の悪用の事前検出は2021-2022年を通じてトップ3のセキュリティユースケースの1つとして位置付けられ、オープンソース製品に影響を及ぼす脆弱性が増えていることと共鳴しています。サイバーセキュリティ研究者は最近、Apache Spark、つまり大規模データ処理のためのオープンソース統一分析エンジンに新しい脆弱性を明らかにしました。新たに発見された脆弱性はCVE-2022-33891として追跡されており、GitHubで既に概念実証（PoC）エクスプロイトが利用可能です。2022年7月18日、Apache Sparkは セキュリティ速報 を発行して、この重要とされる脆弱性を詳細に説明しました。明らかになった欠陥は、Apache Sparkバージョン3.0.3およびそれ以前に影響を与え、攻撃者が任意のシェルコマンドを実行することを可能にします。 

CVE-2022-22891の悪用試行を検出する

サイバー防御者は、SOC Primeのプラットフォームを活用し、新しい重大な脆弱性の悪用をタイムリーに検出するための特定の Sigmaルール を取得することができます。この新たにリリースされたCVE-2022-33891脆弱性の悪用検出は、われらの多産なThreat Bounty Program開発者 Onur Atali によって作成され、登録されたSOC Primeユーザー向けに既に利用可能です：

CVE-2022-33891 Apache Sparkシェルコマンドインジェクション脆弱性

熟練の個人研究者や、自身の貢献を協調的なサイバー防御に捧げる意欲のある検出コンテンツの著者は Threat Bounty Program に参加し、彼らのSigmaおよびYARAルールを業界の仲間と共有しつつ、彼らの貢献を収益化することができます。 

前述のSigmaルールは、18以上の業界をリードするSIEM、EDR、XDR向けに利用可能で、クラウドネイティブおよびオンプレミスのソリューションを含みます。脅威の可視性を向上させるために、この検出コンテンツ項目は MITRE ATT&CK®フレームワーク に準拠しており、主なテクニックとして公に曝露されたアプリケーションの悪用（T1190）を伴う最初のアクセス戦術に対応しています。 

増大する攻撃の量や高度化した敵対者のツールを考慮すると、絶えず変化する脅威の景観に追いつくことはすべてのサイバー防御者にとって緊急の課題です。また、オープンソースソリューションに影響を及ぼすエクスプロイトの増加は、世界中の数千の組織に深刻な脅威をさらしています。SOC Primeのプラットフォームは、“プロアクティブエクスプロイト検知”ユースケースに対処する多数のSigmaルールを提供し、関連する脅威に対して効果的に防御することができます。“ Detect & Hunt ”ボタンをクリックして、25以上のSIEM、EDR、XDRソリューションに即座に変換可能な特定の検出アルゴリズムの完全なリストにアクセスできます。 

コマンドインジェクション脆弱性を探し、関連する脅威のコンテキストを即座に得るための最速の方法をお探しですか？SOC Primeを閲覧して、MITRE ATT&CK参照、CTIリンク、およびより洞察に満ちたメタデータで関連するすべてのコンテキスト情報にサブセコンドの検索パフォーマンスでアクセスしてください—以下の Explore Threat Context ボタンをクリックするだけです。

Detect & Hunt Explore Threat Context

CVE-2022-33891分析

Apache Sparkは、Scala、Java、およびPythonを含む複数のプログラミング言語で高レベルのAPIを提供しています。さらに、Spark SQLがSQLおよびDataFramesを扱うための高レベルのツール類、MLlibが機械学習のためにサポートするなど、さまざまな高レベルのツールをサポートしています。 

最近明かされたApache Spark（CVE-2022-33891）の欠陥は、Databricksのサイバーセキュリティ研究者Kostya Kortchinskyによって報告されました。この深刻度が高いとされる欠陥により、敵対者は現在のSparkユーザーとして任意のシェルコマンドを実行することができます。このセキュリティ問題は、 sparks.acls.enable オプションを介してアクティブ制御リスト（ACLs）を有効にできるSpark UI能力に由来しています。ACLsが有効化された場合、HttpSecurityFilterコードパスが任意のユーザー名をサーブすることによってなりすましを可能にします。これが成功した場合、敵対者はパーミッションチェック関数に到達してUnixシェルコマンドを開始できます。最終的には任意のシェルコマンド実行につながります。 PoCエクスプロイト が既にGitHubで利用可能であるため、Sparkユーザーはなるべく早くインスタンスをアップグレードするよう強く促されています。

この不具合はApache Sparkバージョン3.0.3およびそれ以前、さらに3.1.1から3.1.2、そして3.2.0から3.2.1にも影響を及ぼします。可能な悪用試行からインスタンスを保護するためには、Apache Spark 3.1.3、3.2.2、または3.3.0メンテナンスリリースへのアップグレードが強く推奨されます。

出現する脅威に先んじて、安全保障の態勢を強化するために SOC PrimeのDetection as Codeプラットフォーム を利用し、協調的なサイバー防御の力を活用してください。全球の23,000人以上のサイバーセキュリティ専門家によって推奨される高フィデリティな警告とトップの脅威ハンティングクエリにアクセスし、 Smoking Guns Sigma Rulesリスト を使って、どのSOCチームも必携のものを手に入れることができます。