CVE-2022-29799 및 CVE-2022-29800 탐지: Nimbuspwn으로 알려진 Linux OS의 새로운 권한 상승 취약점

4월 26일, Microsoft 365 Defender 연구 팀이 발견했습니다 몇 가지 새로운 취약점 통칭하여 Nimbuspwn이라고 불리며, 다중 리눅스 데스크톱 환경에서 공격자가 권한을 상승시킬 수 있게 합니다. 새로 발견된 Nimbuspwn 결함은 CVE-2022-29799 및 CVE-2022-29800으로 확인되었습니다.

이 결함들이 함께 체인으로 연결되면 해커가 루트 권한을 얻을 수 있도록 허용하며, 이를 통해 페이로드를 배포하고 임의의 루트 코드 실행을 통해 리눅스 시스템을 추가적으로 타겟으로 삼을 수 있습니다. 또한 이러한 새로운 Nimbuspwn 취약점을 통해 잠재적으로 악의적인 활동이 확대될 수 있으며, 감염된 리눅스 환경이 랜섬웨어 공격을 포함한 더욱 진보된 위협에 노출될 수 있습니다.

CVE-2022-29799 및 CVE-2022-29800 탐지: Nimbuspwn

최근 발견된 Nimbuspwn 취약점 CVE-2022-29799 및 CVE-2022-29800과 관련된 위협 가시성을 제공하기 위해, SOC Prime 팀은 SOC Prime 플랫폼에서 사용할 수 있는 전용 Sigma 규칙을 제공합니다. 보안 실무자들은 이 규칙에 접근하기 위해 플랫폼에 등록하거나 기존 자격증명으로 로그인하도록 권장됩니다:

가능한 Nimbuspwn LPE 활동 (via process_creation)

이 탐지는 20개의 SIEM, EDR 및 XDR 솔루션에서 사용 가능하며, 최신 MITRE ATT&CK® 프레임워크 버전에 맞춰 적의 TTP에 대한 가시성을 개선하며, 권한 상승 전술과 해당되는 권한 상승을 위한 착취 기술 (T1068)을 다룹니다.

SIEM 및 기타 보안 솔루션이 거의 실시간 SOC 콘텐츠로 지속적으로 업데이트되도록 하기 위해, 팀은 SOC Prime 플랫폼에서 제공되는 포괄적인 탐지 스택을 살펴볼 수 있습니다. 탐지 보기 버튼을 클릭하세요. 군중을 통한 기여를 통해 사이버 방어 능력을 강화하고자 하는 사이버 보안 애호가들에게, Threat Bounty 프로그램에 참여하는 것은 위협 사냥 및 콘텐츠 개발 기술을 발전시키고 더 안전한 디지털 미래를 위해 협력할 수 있는 훌륭한 시작점이 될 수 있습니다.

탐지 보기 Threat Bounty 참여하기

Nimbuspwn 개요

Microsoft의 조사를 통해 연구원들은 networkd-dispatcher 라는 시스템 구성 요소를 검사하면서 인기 있는 D-Bus 프로세스 간 통신 채널 (IPC) 메커니즘 내에서 일련의 보안 결함을 발견했습니다. 특히, 디렉터리 트래버설 문제 (CVE-2022-29799)와 심볼릭 링크 경합 및 검증 시점과 사용 시점 오류 (CVE-2022-29800)를 식별했으며, 이를 연결하여 리눅스 시스템에서 루트 권한을 획득하고 감염된 환경에서 백도어를 실행할 수 있었습니다.

Nimbuspwn 취약점 악용 시도로 인한 잠재적인 위협을 완화하기 위해 networkd-dispatcher 사용자들은 인스턴스를 최신 소프트웨어 버전으로 업데이트하도록 권고됩니다. 또한, 사이버 보안 태세를 개선하기 위해 노력하고 있는 조직들은 리눅스 시스템에서 발견된 신규 결점의 높은 위험성 때문에 환경을 지속적으로 모니터링하는 조치를 취해야 합니다.

사전 예방적인 취약점 관리 접근법을 구현함으로써 조직은 이전에 알려지지 않은 위협과 공격을 적시에 드러내고 완화할 수 있습니다. 이를 활용하는 SOC Prime의 Detection as Code 플랫폼 은 팀이 공격 주기의 초기 단계에서 위협을 탐지하고 사이버 방어 능력을 지속적으로 가속화할 수 있도록 합니다.