Detectar CVE-2021-39144: Vulnerabilidade Crítica de Execução Remota de Código no VMware Cloud Foundation via Biblioteca Open Source XStream
Índice:
Outro dia, outro exploit surge no mundo causando dor de cabeça para os profissionais de segurança. A VMware alerta sobre um código de exploit público disponível para uma vulnerabilidade crítica recente de execução remota de código (RCE) corrigida (CVE-2021-39144) no VMware Cloud Foundation e no NSX Manager. Aproveitando essa falha, atores maliciosos não autenticados podem executar o código malicioso com os mais altos privilégios do sistema, sem necessidade de interação do usuário.
Detecção CVE-2021-39144
Com o código de exploit público disponível, uma vulnerabilidade com severidade de 9,8/10 representa uma ameaça crítica para organizações em todo o mundo. Para proteger a infraestrutura da sua organização e detectar atividades potencialmente maliciosas nas primeiras etapas do ataque, obtenha uma versão de regra Sigma pelo nosso atento desenvolvedor do Threat Bounty Wirapong Petshagun.
As detecções são compatíveis com 18 tecnologias SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® abordando as táticas de Acesso Inicial, com Exploit Public-Facing Applications (T1190) como a técnica correspondente.
Junte-se ao nosso Programa Threat Bounty Program para monetizar seu conteúdo exclusivo de detecção enquanto desenvolve seu futuro CV e aprimora suas habilidades de engenharia de detecção. Publicadas no maior mercado de detecção de ameaças do mundo e exploradas por 7.000 organizações globalmente, suas regras Sigma podem ajudar a detectar ameaças emergentes e tornar o mundo um lugar mais seguro, além de conceder lucros financeiros recorrentes.
Clique no botão Explore Detections para acessar instantaneamente as regras Sigma para CVE-2021-39144, links CTI correspondentes, referências ATT&CK e ideias para caça a ameaças.
Análise CVE-2021-39144
A vulnerabilidade crítica no VMware Cloud Foundation (CVE-2021-39144) ocorre devido a uma configuração incorreta na biblioteca de código aberto XStream. De acordo com o aviso da VMware, um endpoint não autenticado que utiliza XStream para serialização de entrada no VMware Cloud Foundation (NSX-V) permite RCE pré-autenticada com privilégios de root. O bug afeta versões do Cloud Foundation 3.11 e anteriores, enquanto as versões 4.x são consideradas seguras.
A vulnerabilidade recebeu a classificação de gravidade máxima de 9,8 em 10 e foi imediatamente corrigida pelo fornecedor em 25 de outubro de 2022. Notavelmente, mesmo que a VMware tenha encerrado o suporte geral para o NSX-V em janeiro de 2022, uma correção foi disponibilizada para produtos fora de linha. Além disso, foram lançadas diretrizes para instruir os clientes na atualização de appliances NSX-V 6.4.14 no Cloud Foundation 3.x. Os usuários são instados a atualizar o quanto antes, pois a disponibilidade de código de exploit público pressupõe uma avalanche de ataques em campo semelhantes ao surto do Log4Shell. outbreak.
Aumente suas capacidades de detecção de ameaças e acelere a velocidade de caça a ameaças equipado com Sigma, MITRE ATT&CK e Detection as Code para sempre ter algoritmos de detecção selecionados contra qualquer TTP adversário ou qualquer vulnerabilidade explorável à disposição. Obtenha 800 regras para CVEs existentes para se defender proativamente contra as ameaças que mais importam. Alcance instantaneamente 140+ regras Sigma gratuitamente ou obtenha todos os algoritmos de detecção relevantes sob demanda em https://my.socprime.com/pricing/.
