Detecção CVE-2022-31672: Exploração de Execução Remota de Código Pré-Autenticada Usando Vulnerabilidades Corrigidas no VMware vRealize Operations Management Suite
Índice:
Falhas de segurança em produtos VMware que podem ser exploradas em ataques de cadeia de exploração estão em destaque na arena de ameaças cibernéticas desde maio de 2022, quando a CISA emitiu um alerta avisando sobre vulnerabilidades conhecidas de execução remota de código (RCE) e escalonamento de privilégios. Em 9 de agosto de 2022, a VMware corrigiu outro conjunto de vulnerabilidades que podem ser encadeadas em uma exploração RCE pré-autenticada para o VMware vRealize Operations Manager Suite (vROPS). A VMware também emitiu o aviso relacionado rastreado como VMSA-2022-0022, cobrindo os detalhes dessas falhas de segurança. As vulnerabilidades no aviso VMSA-2022-0022 que podem ser usadas na cadeia de exploração incluem a violação de autenticação da IU MainPortalFilter (CVE-2022-31675), divulgação de informações SupportLogAction (CVE-2022-31674) e escalonamento de privilégios generateSupportBundle VCOPS_BASE (CVE-2022-31672). Cada questão de segurança individual tem um impacto de gravidade baixo, no entanto, encadeadas juntas, concedem a um invasor não autenticado a capacidade de executar código malicioso nas instâncias afetadas.
Detectando CVE-2022-31672: A Segunda Parte da Cadeia de Exploração
Vulnerabilidades descobertas em produtos populares usados por milhares de organizações globais podem representar uma ameaça severa quando encadeadas juntas. A plataforma Detection as Code da SOC Prime organiza uma regra Sigma para detectar uma vulnerabilidade de escalonamento de privilégios rastreada como CVE-2022-31672, que é utilizada na segunda parte da cadeia de exploração RCE coberta no aviso VMSA-2022-0022 pela VMware. Os praticantes de cibersegurança podem seguir o link abaixo para acessar o algoritmo de detecção dedicado criado pelos desenvolvedores de conteúdo da Equipe SOC Prime:
Possíveis Padrões de Escalonamento de Privilégios VMware vRealize [CVE-2022-31672] (via cmdline)
Esta regra Sigma pode ser aplicada em 19 tecnologias SIEM, EDR e XDR, incluindo as soluções on-premises e em nuvem líderes do setor. Para obter maior visibilidade da ameaça e aumentar a eficácia da cibersegurança, a detecção é alinhada com o framework MITRE ATT&CK® abordando as táticas de Execução e Evasão de Defesa com as técnicas de Ameaça de Comando e Interpretador de Scripts (T1059) e Fluxo de Execução de Seqüestro (T1574) correspondentes. Os praticantes de cibersegurança também podem aplicar esta regra Sigma para buscar instantaneamente ameaças relacionadas usando a cadeia de exploração que afeta os produtos VMware com o módulo Quick Hunt da SOC Prime.
Para detectar ameaças atuais e emergentes que afetam produtos populares da VMware, os praticantes de cibersegurança são bem-vindos a aproveitar a lista completa de regras Sigma dedicadas disponíveis na plataforma da SOC Prime. Clique no botão Detectar & Caçar abaixo para acessar esta ampla coleção de alertas relevantes de alta fidelidade e consultas de caça verificadas e se antecipar aos atacantes. Procurando um contexto profundo de ameaça cibernética à mão? Navegue na SOC Prime por ameaças relacionadas à VMware e mergulhe instantaneamente nas informações contextuais abrangentes com links MITRE ATT&CK, referências CTI e uma lista de regras Sigma relevantes.
botão Detectar & Caçar Explore o Contexto da Ameaça
Cadeia de Exploração Afetando o Gestor de Operações VMware vRealize: Análise de Ataque
Em 9 de agosto de 2022, a VMware emitiu um aviso VMSA-2022-0022 cobrindo um conjunto de vulnerabilidades encontradas em seu vRealize Operations Manager Suite (vROPS) afetando a versão do produto 8.6.3. As falhas de segurança reveladas incluem a vulnerabilidade de escalonamento de privilégios rastreada como CVE-2022-31672, as vulnerabilidades de divulgação de informações CVE-2022-31673 e CVE-2022-31674, e a vulnerabilidade de violação de autenticação CVE-2022-31675. A VMware também lançou patches relevantes para remediar as vulnerabilidades descobertas em produtos VMware impactados. As organizações também são recomendadas a atualizarem para a versão corrigida do VMware vROPS 8.6.4 para mitigar a ameaça.
Notavelmente, cada uma das vulnerabilidades descobertas pode ser considerada moderadamente severa em termos de gravidade e impacto com base em seu escore CVSS (variando de 5.6 a 7.2) se explorada isoladamente, no entanto, quando encadeadas, seu impacto é muito mais destrutivo. O pesquisador de cibersegurança Steven Seeley, do Qihoo 360 Vulnerability Research Institute, que relatou a questão à VMware, lançou a exploração PoC no GitHub chamada “DashOverride,” encadeando três das vulnerabilidades corrigidas mencionadas (CVE-2022-31675, CVE-2022-31674 e CVE-2022-31672). De acordo com o pesquisa de cibersegurança no blog Source Incite, essas falhas de segurança podem levar a uma cadeia de exploração remota de raiz pré-autenticada, que pode expor milhares de organizações a riscos severos.
A cadeia de exploração começa aproveitando a vulnerabilidade CVE-2022-31675, que permite que um invasor aplique um id de link de dashboard válido para contornar a autenticação. Os atores da ameaça também podem se beneficiar dessa falha de segurança vinculando um terceiro a um site malicioso, que pode inserir um usuário com privilégios de administrador na aplicação. Outra vulnerabilidade de divulgação de informações CVE-2022-31674 surge na cadeia de exploração ao abusar do gerenciador Pak válido responsável por escrever senhas sensíveis em arquivos de log.
A segunda parte da cadeia de exploração envolve aproveitar a vulnerabilidade de escalonamento de privilégios CVE-2022-31672, que permite que usuários com privilégios baixos executem o script executável como root. Para garantir que a exploração funcione, os atores da ameaça precisam configurar a variável de ambiente antes de chamar um script para escalonamento de privilégios.
Os volumes crescentes de cadeias de exploração impactando produtos populares aplicados por múltiplas organizações em todo o mundo representam um desafio urgente para os defensores cibernéticos. A plataforma Detection as Code da SOC Prime permite que praticantes de cibersegurança detectem proativamente tentativas de exploração e mitiguem tempestivamente as ameaças de qualquer escala e sofisticação, aproveitando o poder da defesa cibernética colaborativa. Caçadores de Ameaças e Engenheiros de Detecção que buscam autoaperfeiçoamento também podem se juntar ao Programa de Bounty de Ameaças para contribuição de conteúdo crowdsourced para autorar algoritmos de detecção de alta qualidade, compartilhá-los com os pares da indústria e monetizar suas habilidades de forma recorrente.
