CVE-2022-47986のエクスプロイトを検出:IBM Aspera Faspexにおける認証前のリモートコード実行の重大な脆弱性

最新の脅威

3月 30, 2023

6 分で読めます

CVE-2022-47986のエクスプロイトを検出:IBM Aspera Faspexにおける認証前のリモートコード実行の重大な脆弱性

Daryna Olyniychuk
Daryna Olyniychuk マーケティング担当チームリーダー linkedin icon フォローする

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
目次

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

注意を怠らないでください!攻撃者は、大規模企業がファイル転送手続きを迅速化するために頻繁に使用するIBMのファイル交換アプリケーションAspena Faspexを標的にしています。特に、脅威アクターはアプリに影響を与える事前認証済みリモートコード実行(RCE)脆弱性(CVE-2022-47986)を利用してランサムウェア攻撃を実行しようとしています。少なくとも2つのランサムウェア集団、IceFireとBuhtiがCVE-2022-47986を利用していることが確認されています。

CVE-2022-47986 検出

2021年から2023年にかけて、ランサムウェアはサイバー脅威の風景における主要なトレンドの1つであり、侵入の高度化と急増するランサムウェアアフィリエイトの数によって示されています。出現するランサムウェアの脅威から組織のインフラを守るために、サイバー防衛者は時間内に潜在的な攻撃を見つけるのに役立つ検出コンテンツの信頼できる情報源を必要としています。SOC PrimeプラットフォームからのキュレーションされたSigmaルールを探索して、CVE-2022-47986の利用試行を特定してください。

IBM Aspera CVE-2022-47986 利用試行の可能性(ウェブサーバー経由)

このSigmaベースの脅威ハンティングクエリは、16のSIEM、EDR、およびXDRソリューションで活用でき、 MITRE ATT&CKフレームワークv12 に対してInitial Access戦術と対応するExploit Public-Facing Application(T1190)技術をアドレッシングしています。

IBM Aspera CVE-2022-47986 利用試行の可能性(キーワード経由)

上記のクエリは16のSIEM、EDR、およびXDR技術との互換性があり、Initial Access戦術と対応するExploit Public-Facing Application(T1190)技術もアドレッシングしています。

ボタンをクリックすることで 検出を探索 組織は流行の脆弱性利用に関連した悪意のある行動を特定するのに役立つ検出アルゴリズムへの即時アクセスを得ることができます。簡略化された脅威調査のために、ATT&CKおよびCTIリファレンスを含む関連メタデータに詳しく掘り下げることもできます。

検出を探索

最大限に活用するために SOC Primeのクイックハントモジュール とCVE-2022-47986に関連する脅威を検索するには、カスタムタグ「CVE-2022-47986」を適用し、現在のニーズに基づいて検証済みのクエリのリストをフィルタリングします。その後、プラットフォームと環境を選択して、脅威調査を即座に開始し、調査時間を短縮します。

CVE-2022-47986 分析

2023年初冬、IBMは アドバイザリ Aspera Faspexアプリに影響する一連のセキュリティ問題を修正したセットを発行しました。リストの中で最も悪名高いのがCVE-2022-47986で、Ruby on Railsのコードから発生する事前認証のYAML逆シリアル化脆弱性です。バグは重大とされ、CVSSスコアは9.8です。IBMによると、影響を受ける製品にはAspera Faspex 4.4.2 パッチレベル1以下が含まれます。

PoCエクスプロイトは少なくとも2023年2月からウェブ上で流通し、セキュリティベンダーによって複数の利用試行が報告されています。たとえば、Sentinel Oneの 調査 は、CVE-2022-47986を利用してLinux版の新しい悪質ストレインをプッシュするIceFireランサムウェアキャンペーンを詳細に説明しています。また、BuhtiグループがツールセットにAspera Faspexの欠陥エクスプロイトを追加していることがセキュリティ専門家によって報告されています。最新の Rapid7による研究 は、無名のベンダーの侵害を強調する野生における攻撃のタイムラインに追加しています。

CVE-2022-47986に依存する悪意のあるキャンペーンの増加と洗練を考慮して、2023年2月にCISAはこの問題を 既知のエクスプロイト脆弱性(KEV)カタログに追加しました。活発なエクスプロイトの証拠に基づいています。

サイバー脅威に先んじる方法を探して、関連する敵対者のTTPを常に検出できるようにするには、800以上の現在および新興CVE用のルールにアクセスして、リスクを迅速に識別し、サイバーセキュリティの姿勢を強化してください。 140以上のSigmaルールを無料で取得 またはオンデマンドで関連する検出アルゴリズムのリスト全体を探索するには https://my.socprime.com/pricing/

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More 最新の脅威 Articles

CVE-2026-0227: Palo Alto Networks、リモートファイアウォールの中断を可能にするGlobalProtectのDoS脆弱性を修正 6 分で読めます 最新の脅威 CVE-2026-0227: Palo Alto Networks、リモートファイアウォールの中断を可能にするGlobalProtectのDoS脆弱性を修正 by Daryna Olyniychuk CVE-2026-20805: マイクロソフト、積極的に悪用されるWindowsデスクトップマネージャーゼロデイを修正 6 分で読めます 最新の脅威 CVE-2026-20805: マイクロソフト、積極的に悪用されるWindowsデスクトップマネージャーゼロデイを修正 by Daryna Olyniychuk CVE-2026-21858、つまりNi8mare:n8nプラットフォームにおける重要な認証なしリモートコード実行の脆弱性 8 分で読めます 最新の脅威 CVE-2026-21858、つまりNi8mare:n8nプラットフォームにおける重要な認証なしリモートコード実行の脆弱性 by Daryna Olyniychuk