CVE-2022-32223 탐지: Node.js의 새로운 취약점

연구자들은 Node.js라는 오픈 소스 서버 환경이 OpenSSL이 설치된 대상에서는 동적 링크 라이브러리(DLL) 하이재킹에 취약하다는 것을 발견했습니다. 영향을 받는 버전에는 모든 16.x 및 14.x 릴리스 라인이 포함됩니다.

Detect CVE-2022-32223

CVE-2022-32223 결함을 통한 시스템 침해를 신속하게 식별하기 위해 Sigma 규칙을 다운로드하십시오. 경험 있는 Threat Bounty 개발자인 Sittikorn Sangrattanapitak:

npm CLI를 통한 (imageload를 통해) DLL 검색 순서 하이재킹 가능성 [CVE-2022-32223]

이 탐지는 다음의 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Snowflake, Carbon Black, Securonix 및 Open Distro.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10에 맞춰 방어 회피 전술을 다루며 하이재크 실행 흐름을 주요 기법(T1574)으로 삼고 있습니다.

협력적 사이버 방어를 위해 200,000개 이상의 컨텍스트 강화 감지를 축적한 세계 최대이자 가장 발전된 플랫폼으로 위협 사냥 잠재력을 해방시키세요. 이 콘텐츠는 600명의 Threat Bounty Program 연구자 및 위협 사냥꾼들에 의해 개발되었으며, 이들은 적극적으로 그들의 Sigma 및 YARA 규칙을 SOC Prime 플랫폼에 기여합니다. 감지 및 사냥 버튼을 눌러 사용 가능한 액세스 옵션에 대해 더 알아보세요.

위협 사냥 및 위협 탐지, 사이버 위협 인텔리전스를 위한 업계 최초의 검색 엔진을 통해 사이버 위협에 대한 종합적인 컨텍스트 정보를 가진 Sigma 규칙의 최대 저장소를 활용하세요. 위협 컨텍스트 보기 버튼을 눌러 더 알아보세요.

감지 및 사냥 위협 컨텍스트 보기

CVE-2022-32223 설명

에서 연구원들이 Aqua Security 최근에 Node.js 사용자가 CVE-2022-32223으로 지정된 보안 취약점의 영향을 받을 수 있다는 위협 경고를 발표했습니다. 이 취약점이 악용되려면 호스트는 Windows 장치에 두 가지 종속성을 가지고 있어야 합니다: 설치된 OpenSSL과 기존의 “C:Program FilesCommon FilesSSLopenssl.cnf”.

공격자는 디렉토리 중 하나를 장악할 경우, 예상되는 합법적인 DLL 대신 악성 DLL을 서비스가 사용하게 강제할 수 있습니다. 이 공격은 공격자가 권한을 상승시키고, 침해된 환경 내에서 지속성을 확립할 수 있게 합니다.

이 취약점은 높은 심각도로 간주되었으며, 현재 공급업체에 의해 패치되었습니다. 따라서 모든 사용자는 최신 업데이트를 설치해야 합니다.

정확도가 높은 경고를 활용하여 대규모로 중요한 보안 취약점을 식별하고 심층적인 위협 조사를 수행하세요. The Smoking Guns Sigma 규칙 SOC Prime에서 제공하는 목록입니다.