CVE-2024-24576 検出：ハッカーが最大の深刻度「BatBadBut」Rustの脆弱性を悪用し、Windowsユーザーを標的に

Rust標準ライブラリで新たな最大深刻度の脆弱性が発見されました。この脆弱性は、Windowsユーザーに対して潜在的なコマンドインジェクション攻撃を可能にすることで深刻な脅威をもたらします。この欠陥はCVE-2024-24576として追跡されており、特にWindowsでバッチファイルが信頼できない引数で実行される場合に影響します。PoCコードはすでに公開されており、特定された脆弱性の成功した悪用により、野生の攻撃のリスクが増大します。

CVE-2024-24576の攻撃試行を検出する

脆弱性の悪用検知は、エマージングフローの数が指数関数的に増加していることを考慮すると、ここ数年間サイバーセキュリティの主要なユースケースの中に入っています。セキュリティプロフェッショナルがタイムリーに潜在的な悪用試行を見抜き、プロアクティブに防御するために、SOC Primeプラットフォームは、300K以上のキュレーションされた検知アルゴリズムを集約し、脅威ハンティングと検知エンジニアリングのための高度なソリューションを提供します。最新の攻撃者のTTPsについての我々のグローバルなルールフィードは、24時間SLAで最新の脅威に対する検知を提供し、セキュリティ専門家がタイムリーに侵入に耐えられるようにしています。

サイバー防衛者がCVE-2024-24576の悪用に関連する悪質な活動を見つけるのを支援するために、Threat Detection Marketplaceは、精通したThreat Bounty開発者によるキュレーションされたSigmaルールを提供しています Emir Erdogan:

Rustの脆弱性（CVE-2024-24576）を使用した高度な可能性のあるコマンドインジェクション攻撃

上記のルールは、プロセス生成ログを使用してRustプログラミング言語を介したWindowsのコマンドインジェクション攻撃を検出するのに役立ちます。検知は、28以上のSIEM、EDR、およびデータレイク形式に対応しており、 MITRE ATT&CK®フレームワーク v14.1とマッピングされています。また、Sigmaルールは、脅威調査を効率化するために広範な脅威インテリジェンスとメタデータで強化されています。

検知エンジニアリングスキルを開発し、集合的なサイバー防衛に貢献しながら、自分の入力に対して報酬を得たいですか？SOC Primeの Threat Bounty Program のメンバーになり、検知コーディングスキルを訓練し、エンジニアリングキャリアを進め、業界の専門知識を拡充しながらフィナンシャル特典を受け取りましょう。

脅威ハンティングの効率を高め、組織のインフラストラクチャを安全に保つために、サイバー防衛者は脆弱性の悪用を検出するための全検知スタックにダイブすることができます。以下の 探索検知 ボタンを押せば、関連するメタデータで強化された幅広いSigmaルールのコレクションを掘り下げることができます。特に、CTIリンク、ATT&CK参照、トリアージ推奨策、攻撃タイムラインなどが含まれています。

探索検知

CVE-2024-24576分析

Rust標準ライブラリには、一般的な機能の中にWindowsバッチファイルを実行するためのCommand APIが含まれています。最近の Rust Security Response Working Groupからのアドバイザリ では、その関数が堅牢な入力処理を欠いているため、実行時にコードインジェクションの可能性をもたらすことが強調されました。アドバイザリによれば、攻撃者は生成されたプロセスに提供される引数を操ることができ、脱出機構を回避して権限外のシェルコマンドを実行することができます。このRustの脆弱性は CVE-2024-24576と識別され、特にバッチファイルをCommand APIを介してWindowsで.batや.cmd拡張子で呼び出すユースケースで最大の深刻度レベル（CVSSスコア10.0）に達します。

CVE-2024-24576はBatBadButと呼ばれ、セキュリティ研究者 RyotaK によってCERT/CCに公開され、報告されました。特に、欠陥はWindowsバッチプロセスに送信される引数を適切に解析しない限り、複数のプログラミング言語に影響を与えます。プログラミング言語がWindowsでのCreateProcess関数をラップし、コマンド引数に対し脱出機構を取り入れる際に発生します。CVE-2024-24576の影響範囲は、脆弱なプログラミング言語またはモジュールの実装方法に依存します。異なる実装により、異なるレベルの悪用や潜在的なセキュリティリスクが生じる可能性があります。

影響は1.77.2バージョン以前のすべてのRustバージョンに及びますが、信頼できない引数でバッチファイルを実行するコードや依存関係があるWindowsデバイスに提供されます。それでも、欠陥は他のプラットフォームやWindowsでの異なる使用には影響しません。

CVE-2024-24576の緩和措置として、ベンダーは強く Rust 1.77.2バージョンへの標準ライブラリの更新 を推奨しています。このバージョンにはその重大な欠陥に対するパッチが含まれています。悪用リスクを最小限に抑えるための別のオプションとして、 CERT/CC は関連アドバイザリで、ユーザーアプリケーションランタイムがこの脆弱性に対するパッチを欠いている場合に備えて、適切な脱出とデータのニュートラリゼーションを実装することを推奨しています。

GitHubで PoCコード が公開されているため、このRustの脆弱性の野生における悪用のリスクが劇的に上昇しており、守護者からの超迅速な対応が求められます。 SOC Primeプラットフォームに登録し、ビジネスに最も挑戦を与える重要なCVEと新たな脅威について、スケールでの防御を高めながら継続的に最新情報を取得しましょう。 to continuously stay updated on critical CVEs and emerging threats most challenging your business while elevating your defenses at scale.