CVE-2022-22954 탐지: RCE 공격의 근거를 마련하는 치명적 취약점

지난주 VMware는 다양한 심각도 수준의 8가지 취약점을 패치하도록 사용자들에게 권고하는 공지를 발표했습니다. 패치되지 않은 버그는 다음의 VMware 제품의 손상을 초래할 수 있습니다: VMware Workspace ONE Access, Identity Manager (vIDM), vRealize Automation (vRA), Cloud Foundation, 및 Suite Lifecycle Manager. CVSS 점수가 9.8인 서버 사이드 템플릿 인젝션 원격 코드 실행 취약점은 CVE-2022-22954로 추적되며, 가장 쉽게 공격받을 수 있습니다.

CVE-2022-22954 탐지

적들은 CVE-2022-22954를 악용하여 VMware Workspace ONE Access Freemarker 서버 사이드 템플릿 인젝션을 수행하고자 공격을 실행할 수 있습니다. 시그마 아래 규칙을 사용하여 SOC Prime 팀 의 재능 있는 멤버들이 개발한 규칙을 사용하여 시스템 내 관련 의심 활동을 적시에 추적하십시오.

가능한 VMWare CVE-2022-22954 악용 시도 (웹 서버 통해)

이 탐지는 다음과 같은 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, 및 AWS OpenSearch.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10의 최신 버전에 맞춰져 있으며, 초기 액세스 전술을 해결하고 주된 기술로 공용 애플리케이션의 취약점 익스플로잇 (T1190)을 다룹니다.

SOC Prime 플랫폼의 Threat Detection Marketplace 리포지토리에서 CVE-2022-22954와 관련된 탐지 콘텐츠 업데이트를 팔로우하세요 여기.

경험 많은 위협 탐지 콘텐츠 개발자이신가요? Threat Bounty Program이 지원하는 세계 최대의 사이버 방어 커뮤니티의 힘을 활용하여 탐지 콘텐츠를 공유하고, 귀중한 기여로 반복 보상을 받으세요.

탐지 보기 Threat Bounty 참여하기

CVE-2022-22954 분석

CVE-2022-22954로 추적된 치명적인 원격 코드 실행 취약점은 VMware Workspace ONE Access 및 Identity Manager에 존재합니다. 이 버그는 새로운 것이 아닙니다: 2022년 9월 말에, CVE-2021-22005 가 공격자들이 네트워크를 통해 vCenter Server에 루트 권한을 처음으로 허용하는 RCE 공격으로 취약 시스템을 공격할 수 있게 했습니다. 새로운 RCE 결함은 네트워크 접근이 가능한 공격자들이 서버 사이드 템플릿 인젝션을 통해 원격 코드 실행으로 이어질 수 있게 합니다. 더 많은 악용 정보는 CVE-2022-22954 PoC.

VMware 패치는 2022년 4월 6일에 배포되었으며, 다양한 수준의 심각도를 가진 VMware 제품의 여러 보안 문제를 해결합니다. CVE-2022-22954 를 성공적으로 완화하기 위해 영향을 받는 모든 VMware 제품 사용자들은 지체없이 최신 패치를 적용하거나 사용 가능한 해결책을 고려하는 것이 강력히 권장됩니다.

가입하기 SOC Prime의 Detection as Code 플랫폼에 가입하여 탐색 기능을 최적화하고 업계 리더들이 만든 세계 최대의 라이브 탐지 콘텐츠 풀에 접근할 수 있는 권한을 잠금 해제하세요. Detection as Code 플랫폼을 자신의 탐지 콘텐츠로 풍부하게 하여 전 세계 사이버 커뮤니티에 기여하는 것에 열정적이신가요? 우리의 Threat Bounty Program 에 참여하여 더 안전한 미래를 만드세요!