CVE-2022-3602 & CVE-2022-3786: 새로운 높은 심각성의 OpenSSL 취약점 

오픈 소스 소프트웨어 제품에 영향을 미치는 취약점의 지속적인 증가로 인해, 취약점 악용의 사전 탐지가 최신 SOC Prime의 Detection as Code Innovation 보고서에 따르면 가장 일반적인 보안 사용 사례 중 하나로 남아 있습니다. 2022년 11월 초, CVE-2022-3602와 CVE-2022-3786로 식별된 OpenSSL 소프트웨어 라이브러리의 새로운 취약점이 주목받으며 사이버 수호자들의 관심을 끌었습니다. 2022년 11월 1일, OpenSSL은 보안 권고를 발표하여 CVE-2022-3602로 추적된 첫 번째 보안 결함의 세부 사항을 다루고 있습니다. 새로 발견된 취약점은 3.0.0부터 3.0.6 버전까지의 OpenSSL 버전에 영향을 미치며 사용자들을 잠재적 악용 시도에 노출시킬 수 있습니다. 

OpenSSL Punycode 취약점 악용 탐지 시나리오 

오픈 소스 소프트웨어 제품에 영향을 미치는 심각한 취약점은 사이버 위협 분야에서 끊임없이 소란을 일으키고 있습니다. Text4Shell, Apache Commons Text의 RCE 취약점, 사이버 수호자들은 OpenSSL 오픈 소스 라이브러리의 새롭게 발견된 보안 결함과 관련된 새로운 위협에 맞서고 있으며, 이는 CVE-2022-3602 및 CVE-2022-3786으로 추적됩니다. Datadog Security Labs 는 최근 CVE-2022-3602 악용 시도와 관련된 잠재적 탐지 시나리오에 대한 심층 연구를 발표했습니다. 

Sigma 규칙 세트를 확보하여 원격 코드 실행(RCE)을 초래할 수 있는 CVE-2022-3602와 관련된 악성 활동을 탐지하십시오. 모든 규칙 세트는 Datadog Security Labs의 연구에 기반을 두고 있습니다.

이 탐지는 24개의 SIEM, EDR, XDR 기술과 호환되며, MITRE ATT&CK® 프레임워크 에 맞춰 초기 접근 전술, 지속, 명령 및 제어, 공개 애플리케이션 악용(T1190), 서버 소프트웨어 구성 요소(T1505), 및 동적 해상도(T1637) 등의 관련 기술을 대상으로 합니다.

탐색 탐지 콘텐츠 버튼을 클릭하여 즉시 CVE-2022-3602에 대한 Sigma 규칙, 해당 CTI 링크, ATT&CK 참조 및 위협 헌팅 아이디어에 액세스하세요.

탐지 콘텐츠

CVE-2022-3786 및 CVE-2022-3602 설명

OpenSSL은 SSL 및 TLS 프로토콜 기반의 안전한 통신을 위한 오픈 소스 암호화 라이브러리입니다. 2021년 9월에 출시된 라이브러리 버전 3은 CVE-2022-3602 및 CVE-2022-378로 알려진 몇 가지 새롭게 공개된 보안 버그에 취약한 것으로 밝혀졌습니다. 이러한 취약점과 관련된 버퍼 오버런은 악성 서버와 연결을 설정하여 TLS 클라이언트에서 트리거될 수 있습니다. 또한, OpenSSL 보안 결함은 TLS 서버에서 클라이언트 인증을 요청하고 악성 클라이언트가 손상된 서버에 성공적으로 연결하는 경우 잠재적으로 악용될 수 있습니다. 버퍼 오버플로는 서비스 거부를 일으킬 수 있으며, 잠재적으로 RCE를 트리거할 수 있습니다.

OpenSSL 퓨니코드 취약점 CVE-2022-3602는 전용 OpenSSL 보안 권고에따르면 높은 심각도 등급을 받았습니다. 발견된 보안 결함은 퓨니코드 도메인 이름을 디코딩하는 OpenSSL의 특정 기능에 존재합니다. 위협 행위자는 이메일 주소 필드의 도메인에 퓨니코드가 포함된 맞춤형 인증서를 생성하여 CVE-2022-3602 취약점을 악용할 수 있습니다.

현재 CVE-2022-3602 PoC 익스플로잇 코드가 공개적으로 이용 가능한 것은 아니지만, Datadog 연구원들은 Windows에서 자체 취약 시나리오를 개발하고, OpenSSL을 실행하고 있는 Windows를 악용하는 PoC DoS 익스플로잇을 제공했습니다.  that abuses OpenSSL running on Windows. 

CVE-2022-3786 및 CVE-2022-3602 완화 조치로서, OpenSLL 3.0 사용자에게 발견된 보안 결함이 패치된 OpenSSL 버전 3.0.7로의 업그레이드를 권장합니다.

어떠한 심각한 위협이나 취약점(CVE)에 대해서도 맞춤형 탐지 콘텐츠를 통해 공격자보다 한 발 앞서 나아가십시오. 인프라 내 위험을 적시에 식별하기 위해 현재와 신생 CVE에 대한 800개의 규칙에 도달하십시오. 무료로 제공되는 140개 이상의 Sigma 규칙 을 받거나, https://my.socprime.com/pricing/ 에서 On Demand를 통해 관련 탐지 콘텐츠의 종합 목록을 얻으십시오..