CVE-2022-47986のエクスプロイトを検出:IBM Aspera Faspexにおける認証前のリモートコード実行の重大な脆弱性

[post-views]
3月 30, 2023 · 6 分で読めます
CVE-2022-47986のエクスプロイトを検出:IBM Aspera Faspexにおける認証前のリモートコード実行の重大な脆弱性

注意を怠らないでください!攻撃者は、大規模企業がファイル転送手続きを迅速化するために頻繁に使用するIBMのファイル交換アプリケーションAspena Faspexを標的にしています。特に、脅威アクターはアプリに影響を与える事前認証済みリモートコード実行(RCE)脆弱性(CVE-2022-47986)を利用してランサムウェア攻撃を実行しようとしています。少なくとも2つのランサムウェア集団、IceFireとBuhtiがCVE-2022-47986を利用していることが確認されています。

CVE-2022-47986 検出

2021年から2023年にかけて、ランサムウェアはサイバー脅威の風景における主要なトレンドの1つであり、侵入の高度化と急増するランサムウェアアフィリエイトの数によって示されています。出現するランサムウェアの脅威から組織のインフラを守るために、サイバー防衛者は時間内に潜在的な攻撃を見つけるのに役立つ検出コンテンツの信頼できる情報源を必要としています。SOC PrimeプラットフォームからのキュレーションされたSigmaルールを探索して、CVE-2022-47986の利用試行を特定してください。

IBM Aspera CVE-2022-47986 利用試行の可能性(ウェブサーバー経由)

このSigmaベースの脅威ハンティングクエリは、16のSIEM、EDR、およびXDRソリューションで活用でき、 MITRE ATT&CKフレームワークv12 に対してInitial Access戦術と対応するExploit Public-Facing Application(T1190)技術をアドレッシングしています。

IBM Aspera CVE-2022-47986 利用試行の可能性(キーワード経由)

上記のクエリは16のSIEM、EDR、およびXDR技術との互換性があり、Initial Access戦術と対応するExploit Public-Facing Application(T1190)技術もアドレッシングしています。

ボタンをクリックすることで 検出を探索 組織は流行の脆弱性利用に関連した悪意のある行動を特定するのに役立つ検出アルゴリズムへの即時アクセスを得ることができます。簡略化された脅威調査のために、ATT&CKおよびCTIリファレンスを含む関連メタデータに詳しく掘り下げることもできます。

検出を探索

最大限に活用するために SOC Primeのクイックハントモジュール とCVE-2022-47986に関連する脅威を検索するには、カスタムタグ「CVE-2022-47986」を適用し、現在のニーズに基づいて検証済みのクエリのリストをフィルタリングします。その後、プラットフォームと環境を選択して、脅威調査を即座に開始し、調査時間を短縮します。

CVE-2022-47986 分析

2023年初冬、IBMは アドバイザリ Aspera Faspexアプリに影響する一連のセキュリティ問題を修正したセットを発行しました。リストの中で最も悪名高いのがCVE-2022-47986で、Ruby on Railsのコードから発生する事前認証のYAML逆シリアル化脆弱性です。バグは重大とされ、CVSSスコアは9.8です。IBMによると、影響を受ける製品にはAspera Faspex 4.4.2 パッチレベル1以下が含まれます。

PoCエクスプロイトは少なくとも2023年2月からウェブ上で流通し、セキュリティベンダーによって複数の利用試行が報告されています。たとえば、Sentinel Oneの 調査 は、CVE-2022-47986を利用してLinux版の新しい悪質ストレインをプッシュするIceFireランサムウェアキャンペーンを詳細に説明しています。また、BuhtiグループがツールセットにAspera Faspexの欠陥エクスプロイトを追加していることがセキュリティ専門家によって報告されています。最新の Rapid7による研究 は、無名のベンダーの侵害を強調する野生における攻撃のタイムラインに追加しています。

CVE-2022-47986に依存する悪意のあるキャンペーンの増加と洗練を考慮して、2023年2月にCISAはこの問題を 既知のエクスプロイト脆弱性(KEV)カタログに追加しました。活発なエクスプロイトの証拠に基づいています。

サイバー脅威に先んじる方法を探して、関連する敵対者のTTPを常に検出できるようにするには、800以上の現在および新興CVE用のルールにアクセスして、リスクを迅速に識別し、サイバーセキュリティの姿勢を強化してください。 140以上のSigmaルールを無料で取得 またはオンデマンドで関連する検出アルゴリズムのリスト全体を探索するには https://my.socprime.com/pricing/

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している
Daryna Olyniychuk
CVE-2025-8292:Google ChromeのRCE脆弱性でシステム乗っ取りのリスク
ブログ, 最新の脅威 — 5 分で読めます
CVE-2025-8292:Google ChromeのRCE脆弱性でシステム乗っ取りのリスク
Daryna Olyniychuk
CVE-2025-53770の検出:Microsoft SharePointのゼロデイ脆弱性がRCE攻撃に悪用中
ブログ, 最新の脅威 — 7 分で読めます
CVE-2025-53770の検出:Microsoft SharePointのゼロデイ脆弱性がRCE攻撃に悪用中
Daryna Olyniychuk