总结
Microsoft 365 Defender 团队发布了一篇文章,详细介绍了几个已识别的漏洞。这些漏洞允许攻击组织轻松提升 Linux 系统上的权限,从而部署有效负载、勒索软件或其他恶意操作。这些漏洞统称为 Nimbuspwn,包括 networkd-dispatcher 中的一系列安全问题,特别是目录遍历、符号链接竞争和 TOCTU 竞争条件。
他们的详细文章中涵盖了详细信息,并且在两个请求的 CVE 中将提供更多信息:CVE-2022-29799 和 CVE-2022-29800。在发布时,这些 CVE ID 仍被保留。
虽然此类漏洞需要本地 shell 访问才能利用,但对于那些当前在其 Linux 工作负载环境中利用 networkd-dispatcher 的人来说,应将其视为重要问题。创建者已在 Microsoft 的指导下实施了补丁程序来解决该问题,并且受此漏洞影响的系统应实施该补丁。
在 Elastic 中检测 Nimbuspwn 活动
我们在 Elastic 的研究团队专注于构建一系列利用 Elastic Security 和 OSquery 的初始检测。
首先,那些希望了解其环境中哪些系统可能受到影响的人员需要确定安装了 networkd-dispatcher 的系统
编写一个返回 Networkd-Dispatcher 已安装版本的 OSquery 搜索相对简单,并且可以一目了然地返回可能存在风险的系统。在上面的屏幕截图中,我们可以看到一个示例主机,其中列出了一个版本号为 2.1-2,特定于 Ubuntu。您环境中安装的版本可能因发行版而略有不同。下面提供了一个示例查询。
Select version from deb_packages rpm_packages where name=’networkd-dispatcher’;我们利用了 Microsoft 的初始研究论文,确定了攻击者可能用来利用此漏洞的特定恶意模式
Elastic Security 团队编写了一个 EQL 检测规则来检测 Networkd-Dispatcher 的可疑子进程。考虑到这种情况,此规则检测到的任何子进程都应被认为是高度可疑的,并且应进行调查。随着我们的安全社区为此漏洞构建更多 POC,可能会提供进一步的分析。下面显示了一个示例查询
process where event.type == "start" and process.parent.name : "networkd-dispatcher" and not process.name in ("networkctl", "networkd-dispatcher")鉴于此漏洞的性质,我们预计未来几周内 POC 的多样性将大大增加。您可以期望以进一步的签名或规则的形式获得相应更新。
防御建议
受 Microsoft 团队发现的漏洞影响的组织应遵循 Microsoft 在其初始文章中提供的指导,并更新其 networkd-dispatcher 实例。Elastic 建议使用上述检测方法调查发现运行易受攻击版本的 network-dispatcher 的主机,以查找任何受攻击的迹象。
尚未在使用 Elastic Security?您始终可以开始免费试用 14 天Elastic Cloud。