Detecção CVE-2022-22954: Vulnerabilidade Crítica Estabelece Base para Ataques RCE
Índice:
Na semana passada, a VMware lançou um aviso instando os usuários a corrigir oito vulnerabilidades de vários níveis de gravidade. Bugs não corrigidos permitem o comprometimento dos seguintes produtos VMware: VMware Workspace ONE Access, Identity Manager (vIDM), vRealize Automation (vRA), Cloud Foundation e Suite Lifecycle Manager. O alvo mais fácil na lista com uma pontuação CVSS de 9.8 é uma vulnerabilidade de execução remota de código por injeção de modelo do lado do servidor, rastreada como CVE-2022-22954.
Detectar CVE-2022-22954
Adversários podem lançar ataques explorando o CVE-2022-22954 para realizar a injeção de modelo do lado do servidor VMware Workspace ONE Access Freemarker. Use a Sigma regra abaixo desenvolvida pelos talentosos membros da Equipe SOC Prime para rastrear em tempo hábil qualquer atividade suspeita relevante no seu sistema:
Possível Tentativa de Exploração do VMWare CVE-2022-22954 (via servidor web)
Esta detecção está disponível para as seguintes plataformas SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
A regra está alinhada com a última estrutura do MITRE ATT&CK® v.10, abordando a tática de Acesso Inicial com a técnica Explorar Aplicação Exposta (T1190) como técnica principal.
Siga as atualizações do conteúdo de detecção relacionado ao CVE-2022-22954 no repositório Threat Detection Marketplace da Plataforma SOC Prime aqui.
Você é um desenvolvedor experiente de conteúdo de detecção de ameaças? Aproveite o poder da maior comunidade de defesa cibernética do mundo, alimentada pelo Programa Threat Bounty, compartilhe seu conteúdo de detecção e ganhe recompensas recorrentes por sua valiosa contribuição.
Ver Detecções Junte-se ao Threat Bounty
Análise do CVE-2022-22954
A crítica vulnerabilidade de execução remota de código, rastreada como CVE-2022-22954, reside no VMware Workspace ONE Access e Identity Manager. O bug não é sem precedentes: no final de setembro de 2022, CVE-2021-22005 permitiu que adversários atacassem sistemas vulneráveis com ataques RCE, conseguindo privilégios de root e alcançando o servidor vCenter através da rede. A nova falha RCE permite que adversários com acesso à rede façam uma injeção de modelo do lado do servidor que pode levar à execução remota de código. Para mais detalhes de exploração, veja PoC do CVE-2022-22954.
Patches da VMware, lançados em 6 de abril de 2022, abordam uma série de problemas de segurança em produtos VMware de vários níveis de gravidade, incluindo cinco críticos. Para uma mitigação bem-sucedida do CVE-2022-22954, todos os usuários dos produtos VMware afetados são fortemente aconselhados a aplicar os patches mais recentes ou considerar as soluções alternativas disponíveis sem qualquer atraso adicional.
Junte-se à plataforma Soc Prime’s Detection as Code para otimizar suas capacidades de caça e desbloquear o acesso ao maior pool de conteúdo de detecção ao vivo criado por líderes da indústria. Está entusiasmado em contribuir com a comunidade cibernética mundial enriquecendo a plataforma Detection as Code com seu próprio conteúdo de detecção? Junte-se ao nosso Programa Threat Bounty para um futuro mais seguro!
