Detectando Vulnerabilidades Priorizadas na Diretiva Operacional Vinculante da CISA 22-01

Para permitir que as organizações enfrentem os riscos representados pelas vulnerabilidades críticas destacadas na Diretiva Operacional Vinculante (BOD) 22-01, a SOC Prime fornece uma extensa lista de detecções curadas para identificar possíveis tentativas de exploração em sua infraestrutura e isolar ativos potencialmente afetados enquanto os procedimentos de correção estão em andamento.

O aumento da sofisticação das atividades maliciosas que ameaçam os setores privado e público em escala global exige que as organizações fortaleçam suas capacidades de defesa cibernética para se manterem um passo à frente dos atacantes. Corrigir as vulnerabilidades conhecidas está entre as maiores prioridades para defender proativamente contra as ameaças emergentes.
Em 3 de novembro de 2021, a Agência de Segurança Cibernética e Infraestrutura (CISA) divulgou a Diretiva Operacional Vinculante (BOD) 22-01 destinada a ajudar as organizações a mitigar os riscos críticos das vulnerabilidades conhecidas sob exploração ativa. A BOD 22-01 é obrigatória para todas as agências federais dos EUA, no entanto, todas as outras organizações, incluindo empresas privadas, negócios em várias indústrias e empresas estatais, são fortemente recomendadas a priorizar a correção das vulnerabilidades em destaque.

Todas as questões de segurança críticas são fornecidas no catálogo público emitido pela CISA junto com a Diretiva 22-01. O principal objetivo deste catálogo é rastrear e resumir as lacunas de segurança específicas para permitir que as organizações globalmente enfrentem possíveis riscos e resistam a ataques de maneira mais eficiente.

Catálogo de Vulnerabilidades Exploradas Conhecidas pela CISA

CISA enumera 291 Vulnerabilidades Comuns e Exposições (CVEs) que devem ser corrigidas urgentemente por agências federais. Embora as correções para toda a lista de falhas devam ser aplicadas o mais rápido possível, a priorização é altamente relevante para permitir sua implementação gradualmente em três etapas: 

Maior Prioridade

Algumas das vulnerabilidades na lista já estão vencidas, portanto, as organizações devem urgentemente verificar se melhoraram sua proteção de segurança com as correções existentes. Tais vulnerabilidades incluem as explorações mais severas que abalaram o mundo digital em 2020-2021, incluindo PrintNightmare, SigRed, Zerologon, CryptoAPI, e Pulse Connect Secure falhas de segurança cibernética. No total, há 15 CVEs vencidos na lista da CISA que requerem remediação imediata.

Alta Prioridade

Mais de 30% (100) das falhas no catálogo de vulnerabilidades gerido pela CISA são priorizadas para serem corrigidas em menos de duas semanas, até 17 de novembro de 2021, devido à gravidade das explorações e seu alto nível de risco.

Prioridade Média

Para a maioria das falhas na lista (176), os procedimentos de remediação devem ser implementados até 3 de maio de 2022, o que permite às organizações mais de 6 meses para correção.

Detecte Vulnerabilidades da CISA BOD 22-01 com a Plataforma de Detecção como Código da SOC Prime

Em resposta ao catálogo gerido pela CISA delineado na BOD 22-01, a Equipe de Conteúdo da SOC Prime fornece a lista de conteúdos recomendados para detectar atentativas de exploração dessas vulnerabilidades conhecidas. Todas as detecções estão disponíveis na plataforma de Detecção como Código da SOC Prime e organizadas nas listas de acordo com as prioridades de remediação baseadas na gravidade e no nível de risco das explorações (alta e altíssima), permitindo que as equipes de segurança alcancem o conteúdo mais relevante primeiro.

A abordagem introduzida pela SOC Prime é baseada na perspectiva de detecção e caça de ameaças, permitindo que as organizações obtenham uma visão completa dos silos de segurança antecipadamente e priorizem facilmente o que necessita urgentemente de correção. Ao alavancar a pilha de detecção selecionada pelos especialistas da SOC Prime e organizada conforme as prioridades de remediação, as organizações podem caçar atores maliciosos que exploram ameaças críticas para comprometer os ativos organizacionais. Recomendamos utilizar o conteúdo de detecção dedicado da SOC Prime como acionadores para a isolação de sistemas potencialmente afetados e usuários comprometidos.

Detecções para CVEs de Maior Prioridade

Aqui você pode encontrar a lista dos principais conteúdos de detecção que reunimos para ajudar os profissionais de segurança a enfrentarem CVEs que são de maior prioridade com base na Diretiva 22-01

CVE-2021-22893 — Execução Remota de Código do Pulse Connect Secure (PCS)

CVE-2021-26855 — Cadeia de Exploração do Painel de Controle do Microsoft OWA Exchange (ECP)

CVE-2021-26857 — Cadeia de Exploração do Painel de Controle do Microsoft OWA Exchange (ECP)

CVE-2021-26858 — Cadeia de Exploração do Painel de Controle do Microsoft OWA Exchange (ECP)

CVE-2021-27065 — Cadeia de Exploração do Painel de Controle do Microsoft OWA Exchange (ECP)

CVE-2020-1350 — Vulnerabilidade de Execução Remota de Código do “SigRed” no Servidor DNS do Windows

CVE-2021-34527 — “PrintNightmare” Vulnerabilidade de Execução Remota de Código do Spooler de Impressão do Microsoft Windows

CVE-2020-1472 — “ZeroLogon” Vulnerabilidade de Elevação de Privilégio do NetLogon

CVE-2020-0601 — Vulnerabilidade API/ECC do Windows 10 (CryptoAPI do Windows)

CVE-2020-8260 — Execução Remota de Código Pulse Connect Secure

CVE-2019-11510 — Vulnerabilidade de leitura de arquivos arbitrária do Pulse Secure VPN (lista COVID-19-CTI)

CVE-2021-22900​  — Vulnerabilidade de Upload de Arquivo Arbitrário do Pulse Connect Secure

CVE-2021-22894​ — Execução Remota de Código do Pulse Connect Secure Collaboration Suite

CVE-2021-22899​ — Execução Remota de Código do Pulse Connect Secure

CVE-2020-8243 — Execução de Código Arbitrário do Pulse Connect Secure

The lista completa de detecções abordando todos os CVEs de maior prioridade está disponível na plataforma de Detecção como Código da SOC Prime.

Detecções para CVEs de Alta Prioridade

A lista a seguir inclui conteúdo de detecção curado disponível na plataforma da SOC Prime cobrindo as vulnerabilidades conhecidas exploradas que podem ser classificadas como alta prioridade com base no catálogo correspondente gerido pela CISA:

CVE-2021-1675 — Execução Remota de Código do Windows Print Spooler

CVE-2021-22986 — Execução Remota de Código não autenticada do F5 iControl REST

CVE-2021-1879  — Apple iOS Webkit Browser Engine XSS

CVE-2021-21166 — Vulnerabilidade de Estouro de Buffer de Heap do Google Chrome no WebAudio

CVE-2021-21224 — Execução Remota de Código do Motor JavaScript V8 do Chromium

CVE-2021-21972 — Execução Remota de Código do VMWare vCenter Server

CVE-2021-21985 — Execução Remota de Código do VMWare vCenter Server

CVE-2021-22005 — Upload de Arquivo do VMWare vCenter Server

CVE-2021-22205 — Execução Remota de Código das Edições Comunidade e Empresarial do GitLab a partir da versão 11.9

CVE-2021-22502 — Execução Remota de Código do Servidor OBR (Operation Bridge Report) da Micro Focus

CVE-2021-26084 — Execução de Código Arbitrário do Servidor Atlassian Confluence

CVE-2021-26411 — Vulnerabilidade de Corrupção de Memória do Microsoft Internet Explorer e Edge

CVE-2021-30551 — Confusão de Tipos do Motor V8 do Chromium

CVE-2021-30554 — Uso após Liberação do WebGL do Google Chrome

CVE-2021-31207 — Vulnerabilidade de Bypass de Funcionalidade de Segurança do Microsoft Exchange Server

CVE-2021-31956 — Vulnerabilidade de Elevação de Privilégio do NTFS do Microsoft Windows

CVE-2021-31979 — Elevação de Privilégio do Kernel do Windows

CVE-2021-33771 — Elevação de Privilégio do Kernel do Windows

CVE-2021-34473 — Vulnerabilidade de Execução Remota de Código do Microsoft Exchange Server

CVE-2021-34523 — Vulnerabilidade de Elevação de Privilégio do Microsoft Exchange Server

CVE-2021-35211 — Vulnerabilidade de Escape de Memória Remota do Serv-U da SolarWinds

CVE-2021-36942 — Falsificação LSA do Microsoft

CVE-2021-38647 — Execução Remota de Código da Infraestrutura de Gerenciamento Aberto do Microsoft Azure (OMI)

CVE-2021-40444 — Vulnerabilidade de Execução Remota de Código do Microsoft MSHTML

CVE-2021-40539 — Bypass de Autenticação do Zoho Corp. ManageEngine ADSelfService Plus Versão 6113 e Anteriores

CVE-2021-41773 — Vulnerabilidade de Travessia de Caminho do Servidor Apache HTTP

CVE-2021-42013 — Travessia de Caminho do Servidor Apache HTTP 2.4.49 e 2.4.50

Consulte o lista completa de detecções para CVEs de alta prioridade através da plataforma de Detecção como Código da SOC Prime.

Neste artigo, estamos cobrindo o conteúdo de detecção mais relevante para os principais CVEs críticos listados no catálogo de vulnerabilidades da CISA. A SOC Prime está constantemente enriquecendo a plataforma de Detecção como Código com o conteúdo mais atualizado, e novas detecções que abordam os CVEs cobertos pela BOD 22-01 estão em pesquisa e desenvolvimento para curadoria e entrega nas próximas semanas.

Procurando o conteúdo de detecção de ameaças mais recente? Explore a plataforma de Detecção como Código da SOC Prime que entrega nativamente conteúdo de detecção baseado em Sigma curado através de assinatura para mais de 20 soluções SIEM e XDR, ajudando equipes de segurança de todo o mundo a defender-se contra ataques digitais de maneira mais fácil, rápida e eficiente. Para impulsionar a defesa cibernética colaborativa, junte-se à iniciativa de crowdsourcing da SOC Prime habilitando caçadores de ameaças e pesquisadores ao redor do mundo a monetizar seu próprio conteúdo de detecção enquanto contribuem para um futuro mais seguro.