CVE-2022-3602 & CVE-2022-3786: 新たな高リスクのOpenSSL脆弱性

オープンソースソフトウェア製品に影響を与える脆弱性の数が常に進化しているため、 脆弱性の悪用を積極的に検出すること は、最新のSOC PrimeのDetection as Code Innovationレポートによれば、最も一般的なセキュリティユースケースの1つです。2022年11月初めに、CVE-2022-3602およびCVE-2022-3786として識別されたOpenSSLソフトウェアライブラリにおける新たな脆弱性が注目を集めました。2022年11月1日、OpenSSLは セキュリティアドバイザリ を発行し、CVE-2022-3602として追跡された最初のセキュリティ欠陥の詳細をカバーしました。新たに発見された脆弱性は、OpenSSLバージョン3.0.0から3.0.6に影響を与え、このソフトウェアのユーザーを潜在的な悪用試行にさらします。 

OpenSSL Punycode 脆弱性の悪用検出シナリオ 

オープンソースソフトウェア製品に影響を与える重大な脆弱性は、サイバー脅威の領域で常に騒動を引き起こしています。 Text4Shell、Apache Commons TextにおけるRCE脆弱性、サイバー防衛者は、OpenSSLオープンソースライブラリで新たに発見されたセキュリティ欠陥に関連した新たな脅威に対処しています。これらはCVE-2022-3602およびCVE-2022-3786として追跡されています。 Datadogセキュリティラボ は、CVE-2022-3602の悪用試行に関連する潜在的な検出シナリオを詳述する詳細な研究を最近発表しました。 

CVE-2022-3602に関連する悪意のある活動を検出するためのSigmaルールセットを取得してください。すべてのルールセットは、Datadogセキュリティラボの研究に基づいています。

これらの検出は、24のSIEM、EDR、およびXDR技術に適合しており、 MITRE ATT&CK®フレームワーク に準拠して、インシャルアクセスの戦術、持続性、指令と制御、攻撃対象公開アプリケーションの悪用（T1190）、サーバーソフトウェアコンポーネント（T1505）、動的解決（T1637）という対応技術を扱います。

「 検出を探索する」 ボタンをクリックして、CVE-2022-3602のSigmaルール、対応するCTIリンク、ATT&CK参照、および脅威ハンティングのアイデアに即座にアクセスする。

検出を探索する」

CVE-2022-3786およびCVE-2022-3602の説明

OpenSSLは、SSLおよびTLSプロトコルに基づく安全な通信のためのオープンソースの暗号化ライブラリです。2021年9月にリリースされたバージョン3のライブラリは、CVE-2022-3602およびCVE-2022-378として知られる新たに明らかになったセキュリティバグに対する脆弱性が発見されました。 これらの脆弱性に関わるバッファオーバーランは、悪意のあるサーバーへの接続を確立することでTLSクライアントで引き起こされる可能性があります。また、OpenSSLのセキュリティ欠陥は、TLSサーバーがクライアント認証を要求し、悪意のあるクライアントが侵害されたサーバーに正常に接続した場合に、このTLSサーバーで潜在的に悪用される可能性があります。バッファオーバーフローは、サービス拒否を引き起こし、潜在的にRCEを引き起こす可能性があります。 involving these vulnerabilities can be triggered in a TLS client by establishing a connection to a malicious server. Also, the OpenSSL security flaws can be potentially exploited in a TLS server if the latter requests client authentication and provided that the malicious client successfully connects to the compromised server. The buffer overflow can cause a denial of service and potentially trigger RCE.

OpenSSLのpunycode脆弱性CVE-2022-3602は、 専用のOpenSSLセキュリティアドバイザリによると、高い深刻度の評価を受けています。この発見されたセキュリティ欠陥は、punycodeドメイン名をデコードするための特定のOpenSSL関数に存在します。脅威アクターは、電子メールアドレスフィールドのドメインにpunycodeを含むカスタム証明書を生成することによって、CVE-2022-3602の脆弱性を潜在的に悪用する可能性があります。

現在CVE-2022-3602のPoC悪用コードは公開されていませんが、 Datadogの研究者 は、Windows上で脆弱なシナリオを独自に考案し、 Windows上で実行されているOpenSSLを悪用するPoC DoSエクスプロイト を提供しました。 

CVE-2022-3786およびCVE-2022-3602の緩和策として、OpenSSL 3.0のユーザーには、セキュリティ欠陥が修正されているOpenSSLバージョン3.0.7へのアップグレードが推奨されます。

いかなる重大な脅威や悪用可能なCVEに対してもキュレーションされた検出コンテンツで攻撃者より一歩先に進んでください。インフラストラクチャのリスクをタイムリーに特定するために、現在および新たなCVEに対する800のルールに到達してください。 140以上のSigmaルールを無料で入手 またはOn Demandで関連検出コンテンツの包括的なリストを入手できます。 https://my.socprime.com/pricing/.