CVE-2022-41974、CVE-2022-41973、CVE-2022-3328エクスプロイト検出：3つのLinux脆弱性を組み合わせてフルルート権限を取得

Qualysの脅威研究ユニットのセキュリティ専門家は、Linux用の人気ソフトウェア管理ツールSnapdにおける新たな脆弱性（CVE-2022-3328）について警鐘を鳴らしています。この脆弱性は、ローカル特権昇格や任意コードの実行に悪用される可能性があります。注目のセキュリティ問題は、以前に発見されたmultipathdの脆弱性（CVE-2022-41973 & CVE-2022-41974）と組み合わせることで、Linuxシステム上でルート権限を昇格させることができます。

CVE-2022-41974, CVE-2022-41973, CVE-2022-3328のエクスプロイト試行の検出

このエクスプロイトチェーンはLinuxシステムに重大なリスクをもたらすため、セキュリティ専門家は組織環境に対する攻撃をその初期段階で特定するために信頼できる検出コンテンツを必要としています。SOC Prime Teamは、CVE-2022-3328、CVE-2022-41973、CVE-2022-41974のエクスプロイト試行を検出するSigmaルールセットをリリースしました。

Snap-Confine の（cmdline 経由での）CVE-2022-3328エクスプロイトとポストエクスプロイトパターンの可能性

このルールはSnap-confineの競合状態のエクスプロイトパターンを検出します must_mkdir_and_open_with_perms() セキュリティに基づいて Qualysによる研究。この検出は18のSIEM、EDR、XDRテクノロジーで使用可能で、 MITRE ATT&CK®フレームワーク に準拠しており、特権昇格の戦術をアドレスし、特権昇格のためのエクスプロイト（T1068）技法を使用しています。

CVE-2022-41974およびCVE-2022-41973のエクスプロイトチェーンの可能性 [multipathd]（auditd経由）

CVE-2022-41974およびCVE-2022-41973のエクスプロイトチェーンの可能性 [multipathd]（file_event経由）

上記のルールは、multipathdにおける認証バイパス、別名シンボリックリンク攻撃に関するエクスプロイトパターンを検出し、Qualysの研究に基づいています。これらの検出は18のSIEM、EDR、XDRテクノロジーで適用可能であり、ATT&CKに準拠して特権昇格の戦術をアドレスし、対応する特権昇格のためのエクスプロイト（T1068）技法を使用しています。

サイバー防衛の集団戦力に参加して、世界をより安全な場所にしながらお金を稼ぎたいですか？弊社の Threat Bounty Programに登録し、最大の脅威検出マーケットプレイスに独占的なSigmaルールを公開し、検出エンジニアリングスキルを磨き、業界の専門家とつながり、貢献に対する経済的利益を受けることができます。

をクリックし、 検出を探る ボタンを押して、LinuxのユースケースをカバーするSigmaルールの豊富なリストをレビューし、CTIリンク、ATT&CKリファレンス、および脅威ハンティングアイデアを伴ったLinux関連の脅威の検出コンテンツにアクセスします。

検出を探る

Linuxの脆弱性エクスプロイトチェーン：高影響攻撃分析

2021年から2022年の期間中、Linuxの脅威に対する検出コンテンツの消費が著しく増加しており、Linuxベースの環境に影響を与える新たなサイバー攻撃に対するエンドポイント保護の必要性が高まっていることを示しています。

Qualysのリサーチチーム は以前、Linuxのmultipathdに2つの脆弱性「Leeloo Multipath」と名付けられたものを発見し、これは認証バイパスとシンボリックリンク攻撃を引き起こす可能性があります。この multipathdデーモン は、Ubuntu ServerのようなLinux OSのデフォルトインストールでrootとして動作し、失敗したパスをチェックするために設計されたユーティリティです。

上記の欠陥は、新たに発見された第3の脆弱性と組み合わされることで、より高いサイバーセキュリティリスクを伴う可能性があります。3つの脆弱性すべてが成功裏に悪用されると、攻撃者は侵害されたLinuxシステム上で完全なroot権限を得ることができます。

以前発見された欠陥は、権限バイパスを引き起こすCVE-2022-41974（CVSSスコア7.8）およびシンボリックリンク攻撃を引き起こす可能性があるCVE-2022-41973として追跡されています。これらの脆弱性は、単独または組み合わせて悪用された場合でも — どのように悪用されても、 — ローカル特権昇格をrootに引き起こす可能性があります。

CVE-2022-3328として追跡される新たなセキュリティバグは、Linux OS上のSnap-confine機能に影響を与え、SnapdがSnapアプリの実行環境を構築するために適用されます。現在、CVE-2022-3328に対する緩和策はありません。この脆弱性はリモートで武器化することはできませんが、脅威アクターが特権のないユーザーとしてログインすることができれば、root権限を得ることが可能であるため、その悪用試行のリスクは増大しています。このセキュリティ欠陥は、CVE-2021-44731として追跡される別の競合状態Snapd脆弱性のパッチによって2022年2月に導入されました。サイバーディフェンダーは、この脆弱性のパッチを適用して潜在的な侵入から積極的に防御することを強く推奨します。

人気のあるソフトウェアアプリケーションの容易に悪用可能な脆弱性は、数千のグローバル企業に評判のリスクを晒しているため、脆弱性の悪用検出のプロアクティブなアプローチがSOCコンテンツの優先項目の1つとなっています。集団的なサイバー防衛を活用し、現行および既存のCVEのための700の検出アルゴリズムにアクセスし、 — 120以上のSigmaルールを無料で入手 https://socprime.com/ またはOn Demandでの完全な検出スタック https://my.socprime.com/pricing/. を得て、2022年末までに選択可能なプレミアムSigmaルールを200以上追加することができるサイバーマンデー特典を獲得しましょう。 for On Demand to gain up to 200 more premium Sigma rules of your choice by the end of 2022.