Detecção de CVE-2022-22960 e CVE-2022-22954: CISA Alerta sobre Tentativas de Exploração de Vulnerabilidades VMware Não Corrigidas
Índice:
Em 18 de maio de 2022, a CISA emitiu um aviso alertando as organizações sobre potenciais tentativas de exploração de vulnerabilidades conhecidas nos produtos VMware rastreados como CVE-2022-22954 e CVE-2022-22960. Uma vez exploradas, as falhas reveladas dão sinal verde para atores de ameaça realizarem injeção maliciosa de templates no servidor final. Mais especificamente, a exploração do CVE-2022-22954 pode levar à execução remota de código, enquanto a falha CVE-2022-22960 pode ser usada para escalonamento de privilégios. O que duplica os riscos é o fato de que os bugs recém-descobertos do VMware podem ser uma fonte de ataques de cadeia de exploração.
Detectar Tentativas de Exploração de CVE-2022-22954 e CVE-2022-22960
Para detectar padrões de exploração referentes à falha CVE-2022-22954 do VMware, a plataforma Detection as Code da SOC Prime oferece um lote de regras Sigma dedicadas:
Regras Sigma para detectar tentativas de exploração de CVE-2022-22954
Além disso, os profissionais de cibersegurança podem acessar a recém-lançada regra Sigma para a detecção de CVE-2022-22960 criada pelo nosso perspicaz desenvolvedor de Threat Bounty Sittikorn Sangrattanapitak:
Para acessar essas regras Sigma selecionadas, certifique-se de fazer login ou inscrever-se na plataforma para a experiência de detecção mais simplificada. Todas as detecções estão alinhadas com o framework MITRE ATT&CK® para fornecer visibilidade relevante de ameaças e estão disponíveis para a maioria das soluções SIEM, EDR e XDR suportadas pela plataforma da SOC Prime.
Para detectar tentativas de exploração de múltiplas vulnerabilidades conhecidas que impactam produtos VMware, explore a extensa coleção de algoritmos de detecção disponíveis na plataforma da SOC Prime. Clique no botão Ver Detecções para acessar o kit de regras dedicado. Especialistas em cibersegurança que buscam fazer a diferença e enriquecer a biblioteca de conteúdo de detecção com suas próprias contribuições são convidados a se juntar ao Programa de Threat Bounty e obter a chance de transformar suas habilidades profissionais em benefícios financeiros recorrentes.
Ver Detecções Junte-se ao Threat Bounty
Análise de Vulnerabilidades do VMware
A VMware lançou atualizações para ambos CVE-2022-22954 e CVE-2022-22960 há um mês, o que não impediu que atores de ameaça explorassem rapidamente as falhas reveladas em instâncias da VMware não corrigidas dentro de 48 horas após o lançamento das atualizações relacionadas. De acordo com a BOD 22-01 da CISA, os órgãos federais foram instados a tomar medidas imediatas para implementar urgentemente as atualizações para as vulnerabilidades acima mencionadas a fim de minimizar os riscos de segurança.
De acordo com as informações do último Aviso de Cibersegurança, CVE-2022-22954 e CVE-2022-22960 podem ser encadeados para obter controle total do sistema. Uma das vítimas relatou que os adversários primeiro exploraram o CVE-2022-22954 para executar um comando de shell arbitrário e depois usaram a segunda falha do VMware na cadeia de exploração para escalonamento de privilégios. Ao obter acesso root, os invasores puderam apagar logs, elevar permissões e aplicar movimento lateral para obter mais controle sobre o sistema comprometido. Além disso, pesquisadores de cibersegurança observaram outro incidente com o abuso de CVE-2022-22954 para a exploração de um webshell malicioso Dingo J-spy.
Pesquisadores em cibersegurança anteriormente observaram algumas outras vulnerabilidades críticas reveladas no VMware vCenter. Em fevereiro de 2021, uma falha de execução remota de código rastreada como CVE-2021-21972 com a pontuação CVSS de 9.8 foi identificada no plugin do vCenter Server. Uma vez divulgada, essa vulnerabilidade crítica foi relatada por levar a varreduras massivas de instâncias comprometidas com o PoC disponível no GitHub no dia seguinte à sua descoberta.
Mais tarde em 2021, outra vulnerabilidade crítica identificada como CVE-2021-22005 foi identificada no VMware vCenter Server. A falha foi explorada publicamente em campo e, devido à exposição de uma ampla gama de infraestruturas críticas a altos riscos, a CISA lançou um aviso dedicado listando as medidas de mitigação correspondentes.
Quanto às medidas de mitigação em resposta à exploração de CVE-2022-22954 e CVE-2022-22960, os produtos VMware afetados devem ser prontamente atualizados para a versão mais recente. Além disso, para minimizar os riscos de ataques de cadeia de exploração relacionados, recomenda-se que as organizações removam as versões de software afetadas de seus sistemas.
Organizações progressivas em busca de maneiras de se manterem à frente podem aproveitar ao máximo a solução da SOC Prime que visa ajudar as equipes a maximizar o valor de seus investimentos em segurança. Ao se juntar à plataforma Detection as Code da SOC Prime, especialistas em segurança podem ver em ação como podem se beneficiar das capacidades de defesa cibernética aceleradas.
