CVE-2022-22960 및 CVE-2022-22954 탐지: CISA, 패치되지 않은 VMware 취약점의 악용 시도 경고

2022년 5월 18일에 CISA는 다음과 같은 공지를 발표했습니다 알려진 취약점을 악용하려는 시도가 VMware 제품에서 발생할 수 있음을 경고하면서 CVE-2022-22954 및 CVE-2022-22960으로 추적한 제품에서 이런 결함이 드러나면 공격자는 서버에서 악의적인 템플릿 삽입을 수행할 수 있는 허락을 받게 됩니다. 특히, CVE-2022-22954 취약점의 악용은 원격 코드 실행으로 이어질 수 있으며, CVE-2022-22960 결함은 권한 상승에 활용될 수 있습니다. 이 새롭게 발견된 VMware 버그가 연쇄 공격의 출처가 될 수 있다는 사실이 리스크를 배가시킵니다.

CVE-2022-22954 및 CVE-2022-22960 익스플로잇 시도 탐지

CVE-2022-22954 VMware 취약점 관련 악용 패턴을 탐지하기 위해, SOC Prime의 Detection as Code 플랫폼은 전용 시그마 룰 세트를 제공합니다:

CVE-2022-22954 악용 시도를 탐지하기 위한 Sigma 룰

또한, 사이버 보안 전문가들은 저희의 뛰어난 Threat Bounty 개발자 Sittikorn Sangrattanapitak:

루트 계정으로의 VMware 권한 상승 가능성 [CVE-2022-22960] (프로세스 생성 통해)

이런 엄선된 Sigma 룰에 액세스하려면 가장 효율적인 탐지 경험을 위해 플랫폼에 로그인하거나 가입해야 합니다. 모든 탐지는 MITRE ATT&CK® 프레임워크와 일치하여 관련된 위협 가시성을 제공하며, SOC Prime의 플랫폼에서 지원하는 대부분의 SIEM, EDR, XDR 솔루션에서 사용할 수 있습니다.

VMware 제품에 영향을 미치는 여러 알려진 취약점에 대한 악용 시도를 탐지하려면 SOC Prime의 플랫폼에서 사용할 수 있는 포괄적인 탐지 알고리즘 컬렉션을 탐색하십시오. 탐지 보기 버튼을 클릭하여 전용 룰 키트를 확인하십시오. 개인 기여로 검색 콘텐츠 라이브러리를 풍부하게 만들고자 노력하는 사이버 보안 전문가들은 Threat Bounty 프로그램에 참여하여 그들의 전문 기술을 지속적인 재정적 혜택으로 전환할 기회를 얻도록 권장됩니다.

탐지 보기 Threat Bounty 참여

VMware 취약점 분석

VMware는 CVE-2022-22954 및 CVE-2022-22960에 대한 업데이트를 한 달 전에 발표했지만, 이로 인해 연결된 업데이트 후 48시간 이내에 패치되지 않은 VMware 인스턴스의 취약점이 빠르게 악용되었습니다. CISA의 BOD 22-01에 따르면, 연방 기관은 보안을 최소화하기 위해 위의 언급된 취약점에 대한 업데이트를 긴급히 시행하도록 촉구되었습니다.

최신 사이버 보안 자문에 따르면, CVE-2022-22954 및 CVE-2022-22960은 연결되어 시스템 전체 제어를 얻기 위해 체인될 수 있습니다. 피해자 중 한 명은 공격자가 먼저 CVE-2022-22954를 악용하여 임의의 셸 명령을 실행한 다음, 두 번째 VMware 결함을 권한 상승을 위한 익스플로잇 체인에 활용했다고 보고했습니다. 루트 액세스를 얻음으로써 공격자는 로그를 지우고 권한을 상승시키며 횡적 이동을 통해 손상된 시스템에 대한 추가 제어를 획득할 수 있었습니다. 또한, 사이버 보안 연구원들은 CVE-2022-22954의 남용으로 악성 Dingo J-spy 웹셸을 확산하는 다른 사건을 관찰했습니다.

사이버 보안 연구원들은 이전에 VMware vCenter에서 드러난 다른 몇 가지 중요한 취약점을 관찰했습니다. 2021년 2월에는 CVE-2021-21972 라는 원격 코드 실행 결함이 vCenter Server 플러그인에서 식별되어 CVSS 점수 9.8로 기록되었습니다. 공개되자마자, 이 중요한 취약점은 발견 다음 날 GitHub 상에 PoC와 함께 취약한 인스턴스를 대량으로 스캔하게 했다고 보고되었습니다.

2021년 후반에는 또 다른 중요한 취약점이 CVE-2021-22005 로 식별되었습니다. 이 결함은 퍼블릭으로 실사용되었고, 광범위한 중요한 인프라를 높은 위험에 노출시켜 CISA는 전용 자문 을 발표하여 해당 완화 조치를 나열했습니다.

CVE-2022-22954와 CVE-2022-22960 익스플로잇에 대한 대응 조치로, 영향을 받는 VMware 제품은 신속하게 최신 버전으로 업데이트되어야 합니다. 또한, 관련된 익스플로잇 체인 공격의 위험을 최소화하기 위해, 조직은 시스템에서 영향을 받은 소프트웨어 버전을 제거할 것을 권장받습니다.

진보적인 조직들은 SOC Prime의 솔루션을 최대한 활용하여 팀이 보안 투자의 가치를 극대화할 수 있는 방법을 찾을 수 있습니다. SOC Prime의 Detection as Code 플랫폼에 참여함으로써, 보안 전문가들은 가속화된 사이버 방어 기능을 통해 혜택을 누리는 방법을 직접 확인할 수 있습니다.