Detecção CVE-2022-30333: Nova Vulnerabilidade de Segurança na Ferramenta UnRAR
Índice:
A Agência de Segurança de Infraestrutura Crítica dos EUA (CISA) expande seu catálogo de Vulnerabilidades Conhecidamente Exploradas documentando várias novas falhas de travessia de diretórios ativamente exploradas. Os bugs em questão são uma falha de RCE marcada como CVE-2022-34713 e uma vulnerabilidade de travessia de caminho registrada sob CVE-2022-30333. A Microsoft reconheceu que a vulnerabilidade CVE-2022-34713 é uma variante da Follina-like DogWalk buraco de segurança de travessia de caminho na ferramenta de diagnóstico de suporte do Microsoft Windows revelado no início deste verão.
Outra falha rastreada como CVE-2022-30333 reside nas versões Linux e Unix da utilidade UnRAR. Os adversários exploram a vulnerabilidade atraindo vítimas para abrirem um arquivo RAR armado.
Ambas as falhas de alta severidade são exploradas em campo.
Detectar CVE-2022-30333
Para minimizar o possível impacto de violação em sua organização, utilize a seguinte regra Sigma liberada por uma equipe de engenheiros de caçadores de ameaças da SOC Prime:
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetWitness, Snowflake, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
The A regra Sigma acima está alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Persistência e a técnica Componente de Software de Servidor (T1505).
Usuários não registrados podem navegar pela coleção de regras Sigma disponíveis através do Search Engine – uma loja única para inteligência de ameaças e conteúdo SOC. Pressione o botão Explorar Contexto de Ameaça para levar sua rotina de detecção para o próximo nível.
Profissionais de SOC são bem-vindos para se registrar na Plataforma SOC Prime e obter um plano de assinatura comunitário gratuito. Clique no Detectar & Caçar para acessar uma coleção exaustiva de algoritmos de detecção alinhados com mais de 26 soluções SIEM, EDR e XDR.
Detectar & Caçar Explorar Contexto de Ameaça
Descrição CVE-2022-30333
A análise do problema CVE-2022-30333 apareceu pela primeira vez na pesquisa compartilhada por SonarSource em junho de 2022. Com base nos ataques observados, os adversários aproveitam esta vulnerabilidade de escrita de arquivo para ataques RCE para comprometer um servidor de email Zimbra, com mais de 62.000 hosts voltados para a Internet. A falha permite que um agente de ameaça escreva em arquivos durante uma operação de extração. Dado que uma tentativa de exploração foi bem-sucedida, um agente de ameaça obtém acesso a todos os emails armazenados em um servidor de email comprometido. Este nível de acesso, com alta probabilidade, resulta em mais explorações e acesso a dados mais sensíveis.
O RarLab lançou um patch oficial para corrigir a falha de segurança. A correção está incluída com os binários da versão 6.12 (versão de código aberto 6.1.7), disponível para download no site oficial do fornecedor. De acordo com o fornecedor, todas as versões do WinRAR permanecem não afetadas por esta falha.
Registre-se na plataforma SOC Prime para acessar o vasto conjunto de algoritmos de detecção verificados com traduções para mais de 26 formatos específicos de fornecedores de SIEM, EDR e XDR. A detecção precisa e oportuna é a chave para organizar um SOC eficiente 24/7/365 enquanto seus engenheiros podem assumir tarefas mais avançadas.