Detect CVE-2022-47986 Exploits: Critical Pre-Authenticated Remote Code Execution Vulnerability in IBM Aspera Faspex

경계하세요! 대규모 기업들이 파일 전송 절차를 빠르게 하기 위해 자주 사용하는 IBM 파일 교환 애플리케이션인 Aspena Faspex에 적들이 눈독을 들이고 있습니다. 구체적으로, 위협 행위자들은 RCE(원격 코드 실행) 취약점(CVE-2022-47986)을 활용하여 랜섬웨어 공격을 진행하려고 시도합니다. 최소한 두 개의 랜섬웨어 집단이 CVE-2022-47986을 악용하는 것으로 목격되었습니다. 여기에는 IceFire와 Buhti가 포함됩니다.

CVE-2022-47986 탐지

2021-2023 전반에 걸쳐, 랜섬웨어는 사이버 위협 범위에서 지배적인 경향 중 하나로 계속 이어지고 있으며, 침입의 정교함 증가와 랜섬웨어 계열사의 급속한 증가가 이를 보여줍니다. 새로운 랜섬웨어 위협으로부터 조직적 인프라를 보호하기 위해 사이버 수비수는 잠재적 공격을 제때 탐지할 수 있는 신뢰할 수 있는 탐지 콘텐츠 출처가 필요합니다. 아래 SOC Prime 플랫폼에서 선택된 Sigma 규칙을 탐색하여 CVE-2022-47986 악용 시도를 식별하세요:

가능한 IBM Aspera CVE-2022-47986 악용 시도 (웹서버 경유)

이 Sigma 기반 위협 사냥 쿼리는 16개의 SIEM, EDR, XDR 솔루션에 걸쳐 사용할 수 있으며, 다음에 대해 벤치마크되어 있습니다 MITRE ATT&CK 프레임워크 v12 초기 접근 전술을 다루고 있으며 관련된 Exploit Public-Facing Application (T1190) 기법과 함께 합니다.

가능한 IBM Aspera CVE-2022-47986 악용 시도 (키워드 이용)

위에서 언급한 쿼리는 16개의 SIEM, EDR, XDR 기술과 호환되며, 초지 접근 전술을 관련된 Exploit Public-Facing Application (T1190) 기법과 같이 주소합니다.

클릭하여 탐지 탐색 버튼을 누르면, 기관은 최신 취약점의 악용과 관련된 악성 행위를 식별하는 데 도움을 주기 위한 더욱 많은 탐지 알고리즘에 즉시 액세스할 수 있습니다. 원활한 위협 조사를 위해, 팀들은 또한 ATT&CK 및 CTI 참조를 포함한 관련 메타데이터를 세부 검토할 수 있습니다.

탐지 탐색

최대한 활용하기 위해 SOC Prime의 Quick Hunt 모듈 및 CVE-2022-47986과 관련된 위협을 검색하려면, 사용자 정의 태그 “CVE-2022-47986″을 적용하고 현재 필요에 맞춰 확인된 쿼리 목록을 필터링하세요. 그런 다음, 플랫폼과 환경을 선택하고 즉시 드릴 다운하여 위협 조사 시간을 단축하세요.

CVE-2022-47986 분석

2023년 초 겨울에 IBM은 권고사항을 발표했습니다 Aspera Faspex 앱에 영향을 미치는 일련의 보안 문제를 수정했습니다. 목록에서 가장 악명 높은 것은 Ruby on Rails 코드에서 비롯된 사전 인증 YAML 역직렬화 취약점인 CVE-2022-47986입니다. 이 버그는 CVSS 점수 9.8로 중요하게 평가됩니다. IBM에 따르면, 영향을 받는 제품에는 Aspera Faspex 4.4.2 패치 수준 1 이하가 포함됩니다.

PoC 익스플로잇은 적어도 2023년 2월부터 웹에서 유포되고 있으며, 다양한 보안 공급업체에 의해 여러 삽입 시도가 보고되었습니다. 예를 들어, Sentinel One 조사는 CVE-2022-47986을 활용하여 새로운 리눅스 버전의 악성 스트레인으로 이어지는 IceFire 랜섬웨어 캠페인을 자세히 설명합니다. 또한, 보안 전문가들은 Buhti 그룹이 Aspera Faspex 결함 익스플로트를 도구 세트에 추가했다고 보고했습니다. 최근의 Rapid7 연구 는 무명 공급업체의 타협을 강조하는 야생에서의 공격 연대기에 추가되었습니다.

CVE-2022-47986을 기반으로 하는 악의적인 캠페인의 증가하는 수와 복잡성을 감안하여, 2023년 2월 CISA는 이 문제를 알려진 악용 취약점(KEV) 카탈로그에 추가했습니다.

사이버 위협을 앞지르기 위한 방법을 찾고 관련 적대자 TTP에 대한 탐지를 항상 갖고 싶으신가요? 현재 및 신규 CVE의 위험을 제때에 식별하고 사이버 보안 자세를 강화하기 위해 800개 이상의 규칙에 접근하세요. 무료로 140+ Sigma 규칙 에 접속하거나 상세 탐지를 통해 전체 탐색 알고리즘 목록을 On Demand에서 탐색하세요. https://my.socprime.com/pricing/