CVE-2021-39144 탐지: XStream 오픈 소스 라이브러리를 통한 VMware Cloud Foundation의 치명적인 원격 코드 실행 취약점

또 다른 날, 또 다른 공격이 나타나 보안 전문가들에게 골칫거리를 안겨줍니다. VMware는 VMware Cloud Foundation과 NSX Manager의 최근 패치된 치명적인 원격 코드 실행(RCE) 취약점(CVE-2021-39144)에 대한 공개된 익스플로잇 코드가 존재한다고 경고합니다. 이 결함을 이용하여, 인증되지 않는 위협 행위자는 사용자 상호작용 없이 최고 시스템 권한으로 악성 코드를 실행할 수 있습니다.

CVE-2021-39144 탐지

공개된 익스플로잇 코드가 있는 9.8/10 심각도의 취약점은 전 세계 조직에 치명적인 위협을 가합니다. 조직의 인프라를 보호하고 초기 공격 단계에서 잠재적 악성 활동을 탐지하기 위해, 우리 강력한 Threat Bounty 개발자의 Sigma 규칙 릴리스를 받아보세요. Wirapong Petshagun.

이 탐지들은 18개의 SIEM, EDR, XDR 기술과 호환되며 MITRE ATT&CK® 프레임워크 의 Initial Access 전술에 맞추어져 있으며, 대응하는 기술로 Exploit Public-Facing Applications (T1190)이 있습니다.

우리의 Threat Threat Bounty Program 에 참여하여 독점 탐지 콘텐츠를 금전화하고 미래 CV를 코딩하고 탐지 엔지니어링 기술을 연마하세요. 세계 최대의 위협 탐지 마켓플레이스에 게시되어 전 세계 7,000개의 조직이 활용하는 당신의 Sigma 규칙은 새로운 위협을 탐지하여 세계를 더 안전하게 만들고 지속적인 재정적 이익을 제공합니다.

Explore Detections 버튼을 눌러 CVE-2021-39144에 대한 Sigma 규칙, 관련 CTI 링크, ATT&CK 참조 및 위협 헌팅 아이디어에 즉시 액세스하세요.

탐지 탐색

CVE-2021-39144 분석

중요한 VMware Cloud Foundation 취약점(CVE-2021-39144)은 XStream 오픈소스 라이브러리의 잘못된 구성으로 인해 발생합니다. VMware 권고에 따르면, VMware Cloud Foundation (NSX-V)에서 XStream을 입력 직렬화에 사용하는 인증되지 않은 엔드포인트가 루트 권한을 가진 사전 인증 RCE를 가능하게 합니다. 이 버그는 Cloud Foundation 3.11 및 이하 버전에 영향을 미치며, 4.x 버전은 안전한 것으로 간주됩니다.

이 취약점은 10점 만점에 9.8점으로 가장 높은 심각도 등급을 받았고 즉시 벤더에 의해 2022년 10월 25일에 패치되었습니다. 주목할 점은, VMware가 2022년 1월에 NSX-V의 일반 지원 종료 하였음에도 불구하고 종료된 제품에 대한 패치 가 제공되었습니다. 또한 전용 가이드를 발표하여 고객들이 Cloud Foundation 3.x에서 NSX-V 6.4.14 어플라이언스를 업그레이드하도록 안내했습니다. 공개된 익스플로잇 코드의 가용성은 Log4Shell 발발과 유사한 광범위한 공격의 발생을 예상하게 만듭니다.

Sigma, MITRE ATT&CK 및 Detection as Code를 갖추고 항상 정렬된 탐지 알고리즘을 통해 위협 탐지 능력을 강화하고 위협 헌팅 속도를 가속화하세요. 기존 CVE에 대한 800개의 규칙을 얻어 가장 중요한 위협에 대항하여 사전에 방어하세요. 즉시 140+ Sigma 규칙을 무료로 또는 https://my.socprime.com/pricing/에서 온디맨드를 통해 모든 관련 탐지 알고리즘을 얻으세요. https://my.socprime.com/pricing/.