CVE-2022-31672 탐지: 패치된 VMware vRealize Operations Management Suite의 취약점을 이용한 인증 전 리모트 코드 실행 공격
목차:
VMware 제품의 보안 결함은 CISA가 경고 알림을 발행한 2022년 5월 이후로 사이버 위협 영역에서 이익용 체인 공격에 활용될 수 있는 점으로 각광받고 있습니다. 알려진 원격 코드 실행(RCE) 및 권한 상승 취약점입니다. 2022년 8월 9일에 VMware는 VMware vRealize Operations Manager Suite(vROPS)에 대한 인증 전 RCE 익스플로잇으로 연결될 수 있는 또 다른 취약점 세트를 패치했습니다. VMware는 또한 VMSA-2022-0022로 추적되는 관련 권고를 발행했습니다. VMSA-2022-0022에서 이러한 보안 결함의 세부사항을 다루고 있습니다. 익스플로잇 체인에서 사용될 수 있는 VMSA-2022-0022 권고의 취약점은 MainPortalFilter UI 인증 우회(CVE-2022-31675), SupportLogAction 정보 공개(CVE-2022-31674), generateSupportBundle VCOPS_BASE 권한 상승(CVE-2022-31672)를 포함합니다. 각각의 보안 문제는 낮은 수준의 심각도 영향을 가지지만, 하나로 체인되면 인증되지 않은 공격자가 영향을 받은 인스턴스에서 악성 코드를 실행할 수 있는 권한을 얻게 됩니다.
CVE-2022-31672 탐지: 익스플로잇 체인의 두 번째 부분
전 세계 수천 개의 조직에서 활용되고 있는 인기 제품에서 발굴된 취약점은 체인으로 연결될 때 심각한 위협을 초래할 수 있습니다. SOC Prime의 Detection as Code 플랫폼은 CVE-2022-31672로 추적되는 권한 상승 취약점을 탐지하기 위한 Sigma 룰 을 제공합니다. 이는 VMware가 VMSA-2022-0022 권고에서 다룬 RCE 익스플로잇 체인의 두 번째 부분에 사용됩니다. 사이버 보안 전문가들은 아래 링크를 따라가 SOC Prime 팀 콘텐츠 개발자가 만든 전용 탐지 알고리즘에 접근할 수 있습니다:
가능한 VMWare vRealize 권한 상승 패턴 [CVE-2022-31672] (cmdline 방식)
이 Sigma 룰은 업계 선도적인 클라우드 네이티브 및 온프레미스 솔루션을 포함하여 19개의 SIEM, EDR, XDR 기술 전반에 걸쳐 적용할 수 있습니다. 위협 가시성을 향상시키고 사이버 보안 효과성을 높이기 위해 탐지는 MITRE ATT&CK® 프레임워크 에 정렬되어 실행 및 방어 회피 전술과 해당되는 명령 및 스크립트 인터프리터(T1059), 실행 흐름 탈취(T1574) 적대 기술을 다룹니다. 사이버 보안 전문가들은 또한 이 Sigma 룰을 적용하여 VMware 제품에 영향을 미치는 익스플로잇 체인을 활용한 관련 위협을 즉시 사냥할 수 있습니다. SOC Prime의 Quick Hunt 모듈.
인기 있는 VMware 제품에 영향을 미치는 현재 및 신종 위협을 탐지하기 위해 사이버 보안 전문가들은 SOC Prime 플랫폼에서 제공되는 전용 Sigma 규칙 목록을 활용할 수 있습니다. 아래 탐지 및 사냥 버튼을 클릭하여 관련 고품질 경보와 검증된 사냥 쿼리의 광범위한 컬렉션에 접근하고 공격자보다 앞서 나가십시오. 바로 손에 닿는 심층적인 사이버 위협 컨텍스트를 찾고 계십니까? SOC Prime을 통해 VMware 관련 위협을 검색하고 MITRE ATT&CK 링크, CTI 참조, 관련 Sigma 규칙 목록과 함께 포괄적인 맥락 정보를 즉시 파고 들어보세요.
VMware vRealize Operations Manager에 영향을 미치는 익스플로잇 체인: 공격 분석
2022년 8월 9일, VMware는 vRealize Operations Manager Suite(vROPS)에서 발견된 취약점 세트를 다루는 권고를 발행했습니다. 이 취약점은 제품 버전 8.6.3에 영향을 미칩니다. 공개된 보안 결함은 CVE-2022-31672로 추적되는 권한 상승 취약점, CVE-2022-31673 및 CVE-2022-31674로 추적되는 정보 공개 취약점, CVE-2022-31675로 추적되는 인증 우회 취약점을 포함합니다. VMware는 또한 영향을 받은 VMware 제품에서 발견된 취약점을 수정하기 위한 관련 패치를 출시했습니다. 조직들은 또한 위협을 완화하기 위해 고정된 VMware vROPS 버전 8.6.4로 업그레이드할 것을 권장합니다. VMSA-2022-0022 covering a set of vulnerabilities found in its in vRealize Operations Manager Suite (vROPS) affecting the product version 8.6.3. The revealed security flaws include the privilege escalation vulnerability tracked as CVE-2022-31672, the information disclosure vulnerabilities CVE-2022-31673 and CVE-2022-31674, and the authentication bypass vulnerability CVE-2022-31675. VMware has also released relevant patches to remediate the uncovered vulnerabilities in impacted VMware products. Organizations are also recommended to upgrade to the fixed VMware vROPS version 8.6.4 to mitigate the threat.
특히, 발견된 각 취약점은 CVSS 점수(5.6에서 7.2 사이)를 기반으로 별도로 악용되었을 때 중간 수준의 심각도와 영향을 가진다고 볼 수 있지만, 체인되어 사용될 경우 그 영향은 훨씬 더 파괴적입니다. 이 문제를 VMware에 보고한 Qihoo 360 취약점 연구소의 사이버보안 연구원 Steven Seeley는 위와 같은 패치된 세 가지 취약점(CVE-2022-31675, CVE-2022-31674, CVE-2022-31672)을 연결하여 기탑에 공개한 PoC 익스플로잇 명칭은 “DashOverride”로, Source Incite 블로그의 사이버 보안 연구에서에 따르면 이러한 보안 결함으로 인해 인증 전 원격 루트 익스플로잇 체인이 될 수 있으며, 이는 수천 개의 조직을 심각한 위험에 노출시킬 수 있습니다.
익스플로잇 체인은 CVE-2022-31675 취약점을 활용함으로써 시작됩니다. 이는 공격자가 유효한 대시보드 링크 ID를 이용하여 인증을 우회할 수 있도록 합니다. 위협 행위자들은 또한 이 보안 결함을 이용하여 제3자를 악성 웹사이트에 연결시켜 응용 프로그램을 백도어 처리하고 관리자 권한을 가진 사용자로 등록할 수 있습니다. 또 다른 정보 공개 취약점인 CVE-2022-31674는 민감한 암호를 로그 파일에 기록하는 Pak 매니저를 악용할 때 익스플로잇 체인에서 등장합니다.
익스플로잇 체인의 두 번째 부분은 권한 상승 취약점 CVE-2022-31672를 활용하는 것입니다. 이로 인해 권한이 낮은 사용자는 루트로 실행 가능한 스크립트를 실행할 수 있습니다. 익스플로잇이 작동하도록 하려면, 위협 행위자는 스크립트를 호출하여 권한을 상승시키기 전에 환경 변수를 구성해야 합니다.
전 세계 여러 조직에서 적용하는 인기 제품에 영향을 미치는 익스플로잇 체인의 증가하는 볼륨은 사이버 방어자에게 시급한 도전 과제를 제기합니다. SOC Prime의 Detection as Code 플랫폼 은 사이버보안 실무자들이 공동 사이버 방어의 힘을 활용하여 모든 규모와 정교함의 위협을 탐지하고 시기 적절하게 위협을 완화할 수 있도록 합니다. 자가 발전을 추구하는 위협 사냥 전략가 및 탐지 엔지니어는 또한 Threat Bounty 프로그램 에 가입하여 고품질의 탐지 알고리즘을 작성하여 업계 동료들과 공유하고, 반복적인 기준으로 자신의 기술을 지속적으로 수익화할 수 있습니다.
