CISA의 Binding Operational Directive 22-01에서 우선시되는 취약점 탐지
목차:
조직이 Binding Operational Directive (BOD) 22-01에 명시된 중요한 취약점으로 인한 위험을 해결할 수 있도록, SOC Prime은 인프라 내에서 가능한 익스플로잇 시도를 식별하고 패치 절차가 진행 중인 동안 잠재적으로 영향을 받는 자산을 격리할 수 있도록 엄선된 탐지 목록을 제공합니다.
세계적으로 민간 및 공공 부문을 위협하는 악의적인 활동의 정교함이 증가하고 있으므로, 조직은 공격자보다 한 발 앞서 사이버 방어 역량을 강화해야 합니다. 알려진 취약점을 패치하는 것은 신흥 위협으로부터 능동적으로 방어하기 위한 최우선 과제 중 하나입니다.
2021년 11월 3일, 사이버 보안 및 인프라 보안국(CISA)은 Binding Operational Directive (BOD) 22-01 알려진 취약점의 활동 중인 익스플로잇으로 인한 중요한 위험을 완화하기 위해 조직을 돕는 것을 목표로 합니다. BOD 22-01은 모두에게 의무적입니다 미국 연방 기관들은 물론, 사기업, 다양한 산업의 기업, 국영 기업을 포함한 모든 다른 조직들도 특히 주요 취약점을 패치하는데 우선순위를 두는 것이 강력히 권장됩니다.
모든 중요한 보안 문제는 CISA에서 발행한 공개 카탈로그 에 Directive 22-01과 함께 제공됩니다. 이 카탈로그의 주요 목적은 특정 보안 격차를 추적하고 요약하여 전 세계의 조직이 가능한 위험을 해결하고 공격을 보다 효율적으로 견딜 수 있도록 하는 것입니다.
CISA에 의해 알려진 익스플로잇 취약점 카탈로그
CISA는 연방 기관이 긴급히 패치해야 할 291개 공통 취약점 및 노출(CVEs)을 나열합니다. 전체 버그 목록에 대한 패치는 가능한 한 빨리 적용되어야 하지만, 우선 순위는 3단계로 점진적으로 구현할 수 있게 하는 데 매우 중요합니다:
최우선 순위
목록에 있는 몇몇 취약점들은 이미 기한이 지난 것이므로, 조직은 기존 패치로 보안 보호를 강화했는지 긴급히 확인해야 합니다. 이러한 취약점에는 2020-2021년에 디지털 세계를 흔든 가장 심각한 익스플로잇이 포함되며, PrintNightmare, SigRed, Zerologon, CryptoAPI, 및 Pulse Connect Secure 사이버 보안 취약점. CISA의 목록에는 즉각적인 수정이 필요한 15개의 기한이 지난 CVE가 포함되어 있습니다.
높은 우선 순위
CISA 관리 취약점 카탈로그의 30% 이상(100개) 결함은 익스플로잇의 심각성과 높은 위험 수준 때문에 2021년 11월 17일까지 2주 이하로 패치되어야 될 우선 순위로 지정되었습니다.
중간 우선 순위
목록에 있는 대부분의 버그(176개)에 대해 수정 절차는 2022년 5월 3일까지 구현되어야 하며 이는 조직이 패치를 위해 6개월 이상 남았다.
SOC Prime의 Detection as Code 플랫폼으로 CISA BOD 22-01 취약점 탐지
BOD 22-01에 명시된 CISA 관리 카탈로그에 대응하여, SOC Prime 콘텐츠 팀은 이들을 발견하기 위한 권장된 콘텐츠 목록을 제공합니다.이 알려진 취약점을 악용하려는 시도 모든 탐지는 SOC Prime의 Detection as Code 플랫폼에서 사용할 수 있으며, 익스플로잇의 심각성과 위험 수준(최고 및 높음)을 기반으로 하는 수정 우선순위에 따라 목록이 정리되어 보안 팀은 가장 관련성 높은 콘텐츠에 먼저 도달할 수 있습니다.
SOC Prime이 도입한 접근 방식은 조직이 보안 사일로의 전체 그림을 사전에 파악하고 패치가 시급한 것을 쉽게 우선순위로 파악할 수 있도록 하는 위협 탐지 및 사냥 관점을 기반으로 합니다. SOC Prime 전문가들이 선택하고 수정 우선순위에 따라 배열한 탐지 스택을 활용함으로써, 조직은 조직 자산을 위협하는 중요한 위협을 악용하려는 악의적인 행위를 추적할 수 있습니다. 잠재적으로 영향을 받은 시스템과 손상된 사용자를 격리하는 트리거로 SOC Prime의 전용 탐지 콘텐츠를 활용할 것을 권장합니다.
최우선 순위 CVEs에 대한 탐지
여기에서는 CISA가 발행한 Directive 22-01:
CVE-2021-22893 — Pulse Connect Secure (PCS) 원격 코드 실행
CVE-2021-26855 — Microsoft OWA Exchange Control Panel (ECP) 익스플로잇 체인
CVE-2021-26857 — Microsoft OWA Exchange Control Panel (ECP) 익스플로잇 체인
CVE-2021-26858 — Microsoft OWA Exchange Control Panel (ECP) 익스플로잇 체인
CVE-2021-27065 — Microsoft OWA Exchange Control Panel (ECP) 익스플로잇 체인
CVE-2020-1350 — “SigRed” 윈도우 DNS 서버 원격 코드 실행 취약점
CVE-2021-34527 — “PrintNightmare” 마이크로소프트 윈도우 프린트 스풀러 원격 코드 실행 취약점
CVE-2020-1472 — “ZeroLogon” NetLogon 권한 상승 취약점
CVE-2020-0601 — Windows 10 API/ECC 취약점 (Windows CryptoAPI)
CVE-2020-8260 — Pulse Connect Secure 원격 코드 실행
CVE-2019-11510 — Pulse Secure VPN 임의 파일 읽기 취약점 (COVID-19-CTI 목록)
CVE-2021-22900 — Pulse Connect Secure 임의 파일 업로드 취약점
CVE-2021-22894 — Pulse Connect Secure Collaboration Suite 원격 코드 실행
CVE-2021-22899 — Pulse Connect Secure 원격 코드 실행
CVE-2020-8243 — Pulse Connect Secure 임의 코드 실행
The 탐지의 전체 목록 최우선 순위의 모든 CVEs에 대한 해결 방법은 SOC Prime의 Detection as Code 플랫폼에서 사용할 수 있습니다.
높은 우선 순위 CVEs에 대한 탐지
다음 목록에는 해당 CISA 관리 카탈로그에 기반하여 높은 우선순위로 평가될 수 있는 알려진 익스플로잇 취약점을 다루는 SOC Prime 플랫폼에서 제공되는 엄선된 탐지 콘텐츠가 포함되어 있습니다:
CVE-2021-1675 — Windows 프린트 스풀러 RCE
CVE-2021-22986 — F5 iControl REST 비인증 RCE
CVE-2021-1879 — Apple iOS Webkit 브라우저 엔진 XSS
CVE-2021-21166 — Google Chrome WebAudio에서의 힙 버퍼 오버플로 취약점
CVE-2021-21224 — Chromium V8 JavaScript 엔진 원격 코드 실행
CVE-2021-21972 — VMWare vCenter 서버 RCE
CVE-2021-21985 — VMWare vCenter 서버 원격 코드 실행
CVE-2021-22005 — VMWare vCenter 서버 파일 업로드
CVE-2021-22205 — GitLab 커뮤니티 및 엔터프라이즈 에디션 11.9 원격 코드 실행
CVE-2021-22502 — Micro Focus Operation Bridge Report (OBR) 서버 RCE
CVE-2021-26084 — Atlassian Confluence 서버 임의 코드 실행
CVE-2021-26411 — Microsoft Internet Explorer 및 Edge 메모리 손상 취약점
CVE-2021-30551 — Chromium V8 엔진 유형 혼동
CVE-2021-30554 — Google Chrome WebGL 사용 후 해제
CVE-2021-31207 — Microsoft Exchange 서버 보안 기능 우회 취약점
CVE-2021-31956 — Microsoft Windows NTFS 권한 상승 취약점
CVE-2021-31979 — Windows Kernel 권한 상승
CVE-2021-33771 — Windows Kernel 권한 상승
CVE-2021-34473 — Microsoft Exchange 서버 원격 코드 실행 취약점
CVE-2021-34523 — Microsoft Exchange 서버 권한 상승 취약점
CVE-2021-35211 — SolarWinds Serv-U 원격 메모리 탈출 취약점
CVE-2021-36942 — Microsoft LSA 스푸핑
CVE-2021-38647 — Microsoft Azure Open Management Infrastructure (OMI) 원격 코드 실행
CVE-2021-40444 — Microsoft MSHTML 원격 코드 실행 취약점
CVE-2021-40539 — Zoho Corp. ManageEngine ADSelfService Plus 버전 6113 및 이하 인증 우회
CVE-2021-41773 — Apache HTTP 서버 경로 이동 취약점
CVE-2021-42013 — Apache HTTP 서버 2.4.49 및 2.4.50 경로 이동
SOC Prime의 Detection as Code 플랫폼을 통한 탐지의 전체 목록 높은 우선 순위의 CVE 참조
이 기사에서는 CISA의 취약점 카탈로그에 나열된 최신 심각한 CVEs에 대한 가장 관련 있는 탐지 콘텐츠를 다루고 있습니다. SOC Prime은 최신 콘텐츠로 Detection as Code 플랫폼을 지속적으로 풍부하게 하고 있으며, BOD로 다루어진 CVE를 탐지하는 새로운 탐지 자료 22-01 을 큐레이션하고 전달하기 위해 연구 및 개발 중입니다.
최신 위협 탐지 콘텐츠를 찾고 계신가요? 탐험해보세요 SOC Prime의 Detection as Code 플랫폼 으로 20개 이상의 SIEM 및 XDR 솔루션을 통해 구독을 통해 심플한 탐지 콘텐츠를 본래부터 제공함으로써 전 세계의 보안 팀이 디지털 공격에 대해 더 쉽고 빠르며 효율적으로 방어할 수 있도록 돕습니다. 협력적인 사이버 방어를 강화하기 위해, 참여하세요 SOC Prime의 크라우드소싱 이니셔티브 은 전 세계의 위협 사냥꾼과 연구자들이 자신들의 탐지 콘텐츠를 수익화하면서 더 안전한 미래에 기여하도록 합니다.
