CVE-2022-41974, CVE-2022-41973, CVE-2022-3328 탐지: 세 가지 Linux 취약점을 연결하여 전체 루트 권한 획득

[post-views]
12월 05, 2022 · 4 분 읽기
CVE-2022-41974, CVE-2022-41973, CVE-2022-3328 탐지: 세 가지 Linux 취약점을 연결하여 전체 루트 권한 획득

Qualys의 위협 연구 부서의 보안 전문가들은 Linux의 인기 있는 소프트웨어 관리 도구인 Snapd에서 새로운 취약점(CVE-2022-3328)이 발견되어 로컬 권한 상승 및 임의 코드 실행에 악용될 수 있음을 경고합니다. 주목할 만한 이 보안 이슈는 multipathd(CVE-2022-41973 & CVE-2022-41974)에서 공개된 과거 취약점과 결합하여 Linux 시스템에서 root로 권한을 상승시킬 수 있습니다.

CVE-2022-41974, CVE-2022-41973, CVE-2022-3328 악용 시도 탐지

이 익스플로잇 체인은 Linux 시스템에 상당한 위험을 초래하므로 보안 전문가들은 조직 환경에 대한 공격을 초기 단계에서 식별하기 위해 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다. SOC Prime 팀은 CVE-2022-3328, CVE-2022-41973, CVE-2022-41974의 악용 시도를 탐지하는 Sigma 규칙 세트를 출시하였습니다.

Snap-Confine의 (cmdline을 통한) CVE-2022-3328 악용 및 포스트 익스플로잇 패턴 가능성

이 규칙은 Snap-confine의 경쟁 조건에서의 악용 패턴을 탐지합니다 must_mkdir_and_open_with_perms() 보안을 기반으로 Qualys의 연구. 탐지는 18개의 SIEM, EDR, XDR 기술 전반에 걸쳐 사용할 수 있으며 MITRE ATT&CK® 프레임워크 의 Privilege Escalation 전술 및 이에 상응하는 Exploitation for Privilege Escalation (T1068) 기법에 맞춰져 있습니다.

CVE-2022-41974 및 CVE-2022-41973 익스플로잇 체인 [multipathd] (auditd를 통한) 가능성

CVE-2022-41974 및 CVE-2022-41973 익스플로잇 체인 [multipathd] (file_event를 통한) 가능성

위 규칙은 multipathd의 권한 우회 공격, 즉 심볼릭 링크 공격(심볼릭 링크 생성)의 악용 패턴을 탐지하며 Qualys의 연구를 기반으로 합니다. 탐지는 18개의 SIEM, EDR, XDR 기술 전반에 걸쳐 적용할 수 있으며 Privilege Escalation 전술 및 이에 상응하는 Exploitation for Privilege Escalation (T1068) 기법에 맞춰 놓여 있습니다.

집단 사이버 방어에 참여하여 돈을 벌고 세계를 더 안전한 곳으로 만들고 싶으신가요? 다음에 등록하세요 위협 현상금 프로그램, 가장 큰 위협 탐지 마켓플레이스에 독점 Sigma 규칙을 게시하고 탐지 엔지니어링 기술을 연마하며, 귀하의 기여에 대한 재정적 혜택을 받으면서 산업 전문가들과 연결하십시오.

버튼을 눌러 탐지 결과 탐색 버튼을 누르면 Linux 사용 사례를 다루는 광범위한 Sigma 규칙 목록을 검토할 수 있습니다. Linux 관련 위협에 대한 탐지 콘텐츠에 액세스하고 CTI 링크, ATT&CK 참조 및 위협 사냥 아이디어와 함께 제공합니다.

탐지 결과 탐색

Linux 취약점 익스플로잇 체인: 고영향 공격 분석

2021-2022 기간 내내Linux 위협에 대한 탐지 콘텐츠 소비가 상당히 증가했으며, 이는 Linux 기반 환경에서 새로운 사이버 공격에 대한 엔드포인트 보호가 시급하다는 것을 나타냅니다.

Qualys 연구팀은 이전에 Linux multipathd에서 ‘Leeloo Multipath’라고 불리는 두 가지 취약점을 발견하여 권한 우회 및 심볼릭 링크 공격을 유발할 수 있음을 밝혔습니다. multipathd 데몬 은(는) Ubuntu Server와 같은 Linux OS의 기본 설치에서 루트로 실행되는 실패한 경로를 확인하기 위한 유틸리티입니다.

앞서 언급한 결함은 새로운 세 번째 취약점과 결합될 수 있으며, 이는 훨씬 더 높은 사이버 보안 위험을 수반할 수 있습니다. 세 가지 취약점을 모두 성공적으로 악용하면 공격자는 취약한 Linux 시스템에서 완전한 루트 권한을 얻을 수 있습니다.

이전에 발견된 결함은 CVE-2022-41974 및 CVE-2022-41973으로 추적되며, 전자는 권한 우회로 이어지고(CVSS 점수 7.8), 후자는 심볼릭 링크 공격을 유발할 가능성이 있습니다(CVSS 점수 7.0). 두 취약점 모두 어떻게 악용되든 단독이든 또는 결합이든 루트로의 로컬 권한 상승을 초래할 수 있습니다.

CVE-2022-3328로 추적된 새로운 보안 버그는 Linux OS의 Snap-confine 기능에 영향을 미치며, Snap 앱의 실행 환경을 구축하기 위해 Snapd에 의해 사용됩니다. 현재 CVE-2022-3328에 대한 완화책은 없습니다. 취약점은 원격으로 무기화될 수 없지만, 위협 행위자가 비권한 사용자로 로그인하여 루트 권한을 얻을 수 있도록 허용함으로써 악용 시도의 위험이 증가하고 있습니다. 이 보안 결함은 CVE-2021-44731로 추적된 다른 경쟁 조건 Snapd 취약점에 대한 패치로 2022년 2월에 도입되었습니다. 사이버 수비측은 잠재적인 침입에 대비하기 위해 이 취약점의 패치를 적용할 것을 강력히 권장합니다.

인기 있는 소프트웨어 애플리케이션의 쉽게 악용할 수 있는 취약점은 수천 개의 글로벌 기업을 평판 위험에 노출시키고 있으므로 취약점 악용의 사전 탐지가 SOC 콘텐츠 우선순위에서 상위에 자리잡고 있습니다. 집단 사이버 방어를 활용하여 현재 및 기존 CVE에 대한 700개의 탐지 알고리즘에 도달하고 120개 이상의 Sigma 규칙을 무료로 얻으십시오 https://socprime.com/ 또는 온디맨드로 전체 탐지 스택을 https://my.socprime.com/pricing/. 사이버 먼데이 딜을 잡으세요 2022년 말까지 최대 200개의 추가 프리미엄 Sigma 규칙을 얻으려면 온디맨드를 통해 원하는 항목을 선택하세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨
블로그, 최신 위협 — 4 분 읽기
CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨
Daryna Olyniychuk
CVE-2025-8292: Google Chrome Use After Free 취약점으로 인한 RCE 및 시스템 탈
블로그, 최신 위협 — 3 분 읽기
CVE-2025-8292: Google Chrome Use After Free 취약점으로 인한 RCE 및 시스템 탈
Daryna Olyniychuk
CVE-2025-53770 탐지: Microsoft SharePoint 제로데이 취약점, 원격 코드 실행(RCE) 공격에 적극 악용 중
블로그, 최신 위협 — 4 분 읽기
CVE-2025-53770 탐지: Microsoft SharePoint 제로데이 취약점, 원격 코드 실행(RCE) 공격에 적극 악용 중
Daryna Olyniychuk