Detecção de Exploits CVE-2022-41974, CVE-2022-41973, CVE-2022-3328: Três Vulnerabilidades do Linux Encadeadas para Obter Privilégios Total de Root
Índice:
Especialistas em segurança da Unidade de Pesquisa de Ameaças da Qualys alertam para uma nova vulnerabilidade (CVE-2022-3328) no Snapd, uma ferramenta popular de gerenciamento de software para Linux, que pode ser explorada para escalonamento de privilégios locais e execução arbitrária de código. A questão de segurança em evidência pode ser encadeada com vulnerabilidades antigas reveladas no multipathd (CVE-2022-41973 & CVE-2022-41974) para escalar privilégios para root em sistemas Linux.
Detectando Tentativas de Exploração das CVE-2022-41974, CVE-2022-41973, CVE-2022-3328
Como a cadeia de exploração representa um risco significativo para sistemas Linux, especialistas em segurança precisam de uma fonte confiável de conteúdo de detecção para identificar qualquer ataque contra o ambiente organizacional nos estágios iniciais de seu desenvolvimento. A Equipe da SOC Prime lançou um conjunto de regras Sigma detectando tentativas de exploração de CVE-2022-3328, CVE-2022-41973 e CVE-2022-41974:
Padrões Possíveis de Exploração e Pós-Exploração da CVE-2022-3328 no Snap-Confine’s (via cmdline)
Esta regra detecta padrões de exploração de condição de corrida no Snap-confine’s must_mkdir_and_open_with_perms() baseado em segurança pesquisa pela Qualys. A detecção pode ser usada em 18 tecnologias de SIEM, EDR e XDR e está alinhada com o framework MITRE ATT&CK® abordando a tática de Escalonamento de Privilégios com a técnica correspondente de Exploração para Escalonamento de Privilégios (T1068).
Cadeia de Exploração Possível da CVE-2022-41974 e CVE-2022-41973 [multipathd] (via auditd)
Cadeia de Exploração Possível da CVE-2022-41974 e CVE-2022-41973 [multipathd] (via file_event)
As regras acima detectam padrões de exploração de bypass de autorização, também conhecido como ataque symlink no multipathd (criação de symlink) e são também baseadas na pesquisa da Qualys. As detecções podem ser aplicadas em 18 tecnologias de SIEM, EDR e XDR e estão alinhadas com o ATT&CK abordando a tática de Escalonamento de Privilégios com a técnica correspondente de Exploração para Escalonamento de Privilégios (T1068).
Ansioso para se juntar às forças de defesa cibernética coletiva e ganhar dinheiro enquanto torna o mundo um lugar mais seguro? Registre-se para o nosso Threat Bounty Program, publique regras Sigma exclusivas no maior mercado de detecção de ameaças, refine suas habilidades de Engenharia de Detecção e conecte-se com especialistas do setor enquanto recebe benefícios financeiros por sua contribuição.
Clique no Explorar Detecções botão para revisar a extensa lista de regras Sigma cobrindo casos de uso de Linux. Acesse o conteúdo de detecção para ameaças relacionadas ao Linux, acompanhado de links CTI, referências ATT&CK e ideias para caça de ameaças.
Cadeia de Exploração de Vulnerabilidades Linux: Análise de Ataque de Alto Impacto
Ao longo do período de 2021-2022, houve um aumento significativo no consumo de conteúdo de detecção para ameaças Linux, o que aponta para uma necessidade urgente de proteção de endpoints contra ataques cibernéticos emergentes que afetam ambientes baseados em Linux.
A Equipe de Pesquisa da Qualys descobriu anteriormente duas vulnerabilidades no Linux multipathd apelidadas de “Leeloo Multipath” que podem levar a um bypass de autorização e ataques symlink. O daemon multipathd é uma utilidade projetada para verificar caminhos falhados rodando como root na instalação padrão do sistema operacional Linux, como o Ubuntu Server.
As falhas mencionadas acima podem ser encadeadas com uma terceira vulnerabilidade recém-descoberta, que pode envolver riscos de segurança cibernética muito mais elevados. A exploração bem-sucedida de todas as três vulnerabilidades pode permitir que os invasores obtenham privilégios completos de root em sistemas Linux comprometidos.
As falhas descobertas anteriormente são rastreadas como CVE-2022-41974 e CVE-2022-41973, com a primeira levando ao bypass de autorização (pontuação CVSS 7.8) e a segunda potencialmente causando um ataque symlink (pontuação CVSS 7.0). Ambas as vulnerabilidades, não importa como sejam exploradas — isoladamente ou encadeadas — podem levar ao escalonamento de privilégios locais para root.
O novo bug de segurança rastreado como CVE-2022-3328 afeta a função Snap-confine no sistema Linux, que é aplicada pelo Snapd para construir o ambiente de execução para aplicativos Snap. Atualmente, não há mitigações disponíveis para CVE-2022-3328. Embora a vulnerabilidade não possa ser usada remotamente, os riscos de tentativas de exploração estão aumentando, desde que os atores de ameaça façam login como usuários sem privilégios, permitindo-lhes obter privilégios root. Esta falha de segurança foi introduzida em fevereiro de 2022 pelo patch para outra vulnerabilidade de condição de corrida no Snapd rastreada como CVE-2021-44731. Os defensores cibernéticos recomendam fortemente a aplicação do patch para esta vulnerabilidade para defender proativamente contra potenciais intrusões.
Vulnerabilidades fáceis de explorar em aplicativos de software populares estão expondo milhares de empresas globais a riscos reputacionais; portanto, a detecção proativa de exploração de vulnerabilidades possui uma das principais prioridades entre o conteúdo SOC. Atinga 700 algoritmos de detecção para CVEs atuais e existentes aproveitando a defesa cibernética coletiva. — obtenha mais de 120 regras Sigma gratuitamente em https://socprime.com/ ou todo o conjunto de detecção sob demanda em https://my.socprime.com/pricing/. Aproveite nossa oferta de Cyber Monday sob demanda para obter até 200 regras Sigma premium de sua escolha até o final de 2022.
