VMware Cloud Foundationの深刻なリモートコード実行の脆弱性（CVE-2021-39144）をXStreamオープンソースライブラリ経由で検出

また1日が過ぎ、また1つのエクスプロイトが野生で発見され、セキュリティの専門家たちに頭痛を引き起こします。VMwareは、VMware Cloud FoundationおよびNSX Managerの最近修正された重大なリモートコード実行（RCE）脆弱性（CVE-2021-39144）に対する公開されたエクスプロイトコードが存在することを警告しています。この欠陥を利用することで、認証されていない脅威主体が、ユーザーの操作を必要とせずに、最高のシステム特権で悪意のあるコードを実行する可能性があります。

CVE-2021-39144 検出

公開されているエクスプロイトコードが利用可能なため、9.8/10の深刻度を持つ脆弱性は、世界中の組織にとって重大な脅威となります。組織のインフラストラクチャを保護し、攻撃の初期段階で潜在的な悪意のある活動を検出するために、私たちの熱心なThreat Bounty開発者によるSigmaルールを入手してください。 Wirapong Petshagun.

これらの検出は18のSIEM、EDR、およびXDR技術と互換性があり、 MITRE ATT&CK®フレームワーク と一致しており、Initial Accessの戦術をアドレスし、対応する技術としてExploit Public-Facing Applications (T1190)を持っています。

私たちのThreat Threat Bounty Program に参加して、独自の検出コンテンツをマネタイズしながら、あなたの将来の履歴書をコーディングし、検出エンジニアリングスキルを磨いてください。世界最大の脅威検出マーケットプレイスに公開され、世界中の7,000の組織によって調査され、あなたのSigmaルールは新たな脅威を検出し、世界をより安全な場所にしながら、継続的な金銭的利益をもたらすことができます。

Explore Detectionsボタンを押して、CVE-2021-39144に関するSigmaルール、対応するCTIリンク、ATT&CKリファレンス、および脅威ハンティングのアイデアに即座にアクセスしてください。

Explore Detections

CVE-2021-39144 分析

VMware Cloud Foundationの重大な脆弱性（CVE-2021-39144）はXStreamオープンソースライブラリの誤設定が原因で発生します。VMwareのアドバイザリによると、VMware Cloud Foundation（NSX-V）で入力シリアライゼーションにXStreamを利用している認証されていないエンドポイントが、ルート特権の事前認証済みRCEを可能にします。このバグはCloud Foundationバージョン3.11およびそれ以前に影響を与えますが、バージョン4.xは安全とされています。

この脆弱性は10点満点中9.8の最高レベルの深刻度評価を受け、直ちに パッチが適用 されました。特に、VMwareが NSX-Vの一般サポートを終了 したとしても、 パッチ は寿命終了の製品にも提供されました。また、専用の ガイドライン がCloud Foundation 3.x上のNSX-V 6.4.14アプライアンスのアップグレードを顧客に指示するために公開されました。公開されたエクスプロイトコードが存在するため、Log4Shellアウトブレイクに似た大量の野生の攻撃が予想されるため、ユーザーはできるだけ早く更新するよう促されています。 Log4Shell のアウトブレイク。

Sigma、MITRE ATT&CK、およびDetection as Codeを装備して、常にキュレーションされた検出アルゴリズムを持ち、あらゆる敵TTPまたは悪用されうる脆弱性に対して即座に対応し、脅威検出能力を向上させ、脅威ハンティングの速度を加速させましょう。既存のCVEに対する800の規則を取得して、最も重要な脅威からプロアクティブに防御します。即座に 140+のSigma規則を無料で 取得するか、On Demandで関連するすべての検出アルゴリズムを取得しましょう。 https://my.socprime.com/pricing/.