CVE-2022-30333 탐지: UnRAR 유틸리티의 새로운 보안 취약점
목차:
미국의 중요한 인프라 보안 기관(CISA)은 알려진 악용 취약점 목록을 확장하여 여러 새로운 활성 악용 경로 탐색 취약점을 문서화합니다. 문제의 버그는 CVE-2022-34713과 경로 탐색 취약점 CVE-2022-30333으로 분류된 원격 코드 실행(RCE) 취약점입니다. Microsoft는 CVE-2022-34713 취약점이 Follina와 유사한 DogWalk Microsoft Windows 지원 진단 도구에서 발견된 경로 탐색 보안 취약점의 변종이라고 인정했습니다.
CVE-2022-30333으로 추적되는 또 다른 취약점은 Linux와 Unix 버전의 UnRAR 유틸리티에 존재합니다. 공격자는 무기화된 RAR 아카이브를 열도록 피해자를 유도하여 취약점을 유발합니다.
두 개의 심각한 취약점 모두 자연 환경에서 악용됩니다.
CVE-2022-30333 탐지
조직이 받을 수 있는 잠재적 침해 영향을 최소화하려면 위협 사냥 엔지니어 팀에서 배포한 다음 Sigma 규칙을 활용하세요. SOC Prime:
Zimbra 이메일 서버에서 AV 서비스 구성 후 의심스러운 JSP 파일 업로드 (파일 이벤트를 통해)
이 탐지는 Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetWitness, Snowflake, Apache Kafka ksqlDB, Securonix, AWS OpenSearch 등 SIEM, EDR 및 XDR 플랫폼에 대한 번역이 있습니다.
The 위 Sigma 규칙은 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 지속성 전술 및 서버 소프트웨어 구성 요소(T1505) 기술을 다룹니다. v.10, addressing the Persistence tactic and Server Software Component (T1505) technique.
등록되지 않은 사용자는 위협 인텔리전스 및 SOC 콘텐츠를 위한 쇼핑 플랫폼과 같은 Sigma 규칙 모음을 검색 엔진을 통해 탐색할 수 있습니다. 검색 흐름을 다음 단계로 진행하려면 위협 컨텍스트 탐색 버튼을 누르세요.
SOC 전문가들은 SOC Prime 플랫폼에 등록하여 무료 커뮤니티 구독 계획을 받을 수 있습니다. 26개 이상의 SIEM, EDR, 및 XDR 솔루션과 일치하는 탐지 알고리즘의 방대한 컬렉션에 접근하려면 탐지 및 사냥 버튼을 누르세요.
CVE-2022-30333 설명
CVE-2022-30333 문제 분석은 처음에 SonarSource 가 2022년 6월에 공유한 연구에서 나타났습니다. 관찰된 공격을 기반으로 공격자는 이 파일 쓰기 취약점을 활용하여 Zimbra 이메일 서버를 손상시키기 위한 RCE 공격을 수행합니다. 이 서버는 62,000개 이상의 인터넷 노출 호스트를 가지고 있습니다. 이 취약점은 위협 행위자가 추출 작업 도중 파일에 쓰기를 허용합니다. 악용 시도에 성공하면 위협 행위자는 손상된 이메일 서버에 저장된 모든 이메일에 액세스할 수 있게 됩니다. 이 액세스 수준은 추가적인 악용 및 더 민감한 데이터에 대한 접근으로 이어질 가능성이 높습니다.
RarLab은 이 보안 취약점을 해결하기 위한 공식 패치를 출시했습니다. 이 수정은 공식 벤더 웹사이트에서 다운로드할 수 있는 6.12 버전 바이너리(오픈 소스 버전 6.1.7)에 포함되어 있습니다. 벤더에 따르면 모든 WinRAR 버전은 이 취약점의 영향을 받지 않습니다.
SOC Prime 플랫폼에 등록하여 26개 이상의 벤더별 SIEM, EDR 및 XDR 형식으로 번역된 검증된 탐지 알고리즘의 광범위한 풀에 접근하세요. 정확하고 시기 적절한 탐지는 엔지니어들이 더 고급 작업을 수행할 수 있도록 SOC를 24/7/365 효율적으로 조직하는 데 핵심입니다. SOC Prime’s platform to access the vast pool of verified detection algorithms with translations to more than 26 vendor-specific SIEM, EDR, and XDR formats. Accurate and timely detection is key to organizing efficient SOC 24/7/365 while your engineers can take up more advanced tasks.
