Mitigazione rapida delle CVE di Cato Security Research

L’OWASP definisce il patching virtuale come “un livello di applicazione delle politiche di sicurezza, che previene lo sfruttamento di una vulnerabilità nota”. Cato esegue il patching virtuale a livello di Sistema di prevenzione delle intrusioni (IPS) del Cato Single Pass Cloud Engine (SPACE). Gli esperti Cato impiegano nuove regole IPS per adattarsi rapidamente a nuove CVE, senza necessità di coinvolgere il cliente.

Selezione di CVE critiche mitigate da Cato

Name

Apache Struts 2 File Upload Remote Code Execution

CVE

CVE-2023-50164

Severity Score

9.8 (Critical)

Detect to Protect

1 giorno

Description

Esecuzione di codice remoto tramite logica di caricamento di file difettosa nel framework web Apache Struts 2, consentendo il caricamento di file e l'esecuzione di codice arbitrari

Detection

POC disponibile – 12 dicembre 2023

Opt-in Protection

12 dicembre 2023

Global Protection

13 dicembre 2023

Name

Vulnerabilità nell’escalation dei privilegi dell’IU web Cisco IOS XE

CVE

CVE-2023-20198

Severity Score

10 (Critical)

Detect to Protect

2 giorni

Description

L'escalation dei privilegi è possibile nei dispositivi Cisco con connessione Internet che dispongono di IOS XE e hanno la funzionalità dell'interfaccia utente Web HTTP in esecuzione

Detection

POC disponibile – 30 ottobre 2023 20:30 UTC

Opt-in Protection

31 ottobre 2023 20:00 UTC

Global Protection

1 novembre 2023 20:00 UTC

Name

cURL SOCKS5 Proxy Heap Buffer Overflow

CVE

CVE-2023-38545

Severity Score

7.5 (High)

Detect to Protect

1 giorno e 3 ore

Description

Una vulnerabilità di Heap Buffer Overflow nella risoluzione dell'hostname durante un handshake del proxy SOCKS5 può portare all'esecuzione di codice dannoso da parte di un'implementazione vulnerabile di libcurl.

Detection

11 ottobre 2023 06:30 UTC

Opt-in Protection

11 ottobre 2023 20:00 UTC

Global Protection

12 ottobre 2023 9:30 UTC

Name

Vulnerabilità nell’escalation dei privilegi di Atlassian Confluence Server & Data Center

CVE

CVE-2023-22515

Severity Score

10 (Critical)

Detect to Protect

1 giorno e 23 ore

Description

Vulnerabilità nell’escalation dei privilegi nella versione on-premises di Atlassian Confluence Server & Data Center, che consente agli aggressori di sfruttare un endpoint vulnerabile per creare utenti amministratori non autorizzati e ottenere l'accesso al server.

Detection

4 ottobre 2023 13:00 UTC

Opt-in Protection

5 ottobre 2023 11:00 UTC

Global Protection

6 ottobre 2023 12:00 UTC

Name

MOVEit Transfer SQLi

CVE

CVE-2023-34362

Severity Score

10 (Critical)

Detect to Protect

3 giorni e 6 ore

Description

Un SQLi all’interno della soluzione di trasferimento gestito dei file (MFT) MOVEit Transfer di InProgress consente agli hacker di eseguire comandi SQL, cosa che può comportare l’installazione di una backdoor dedicata, consentendo l’esecuzione di codici da remoto (RCE).

Detection

6 giugno 2023, ore 8:00

Opt-in Protection

8 giugno 2023, ore 16:30

Global Protection

9 giugno 2023, ore 14:00

Name

Vulnerabilità Microsoft Outlook Remote Hash

CVE

CVE-2023-23397

Severity Score

9.8 (Critical)

Detect to Protect

0*

Description

Elevazione della vulnerabilità dei privilegi di Microsoft Outlook *Al minuto zero: Il traffico SMB in uscita viene bloccato in maniera predefinita sul firewall di Cato

Detection

3 marzo 2023 alle ore 8:02

Opt-in Protection

3 marzo 2023, ore 8:02

Global Protection

3 marzo 2023, ore 8:02

Name

OWASSRF, MS Exchange RCE

CVE

CVE-2022-41082

Severity Score

8.8 (High)

Detect to Protect

23 ore e 45 minuti

Description

Parte dell’exploit chain (o catena di sfruttamento) di ProxyNotShell, alcune versioni di MS Exchange sono vulnerabili all’esecuzione di codici da remoto (RCE)

Detection

21 dicembre 2022 alle ore 17:00

Opt-in Protection

21 dicembre 2022 alle ore 23:29

Global Protection

22 dicembre 2022 alle ore 16:45

Name

Esecuzione dei codici da remoto Microsoft Exchange

CVE

CVE-2022-41040, CVE-2022-41082

Severity Score

8.8 (High)

Detect to Protect

2 giorni, 10 ore e 6 minuti

Description

Elevazione della vulnerabilità dei privilegi del server di Microsoft Exchange

Detection

30 settembre 2022 alle ore 13:19

Opt-in Protection

30 settembre 2022 alle ore 23:25

Global Protection

2 ottobre 2022 alle ore 00:40

Name

DogWalk – Esecuzione dei codici da remoto dello strumento diagnostico del Supporto tecnico Microsoft

CVE

CVE-2022-34713

Severity Score

7.8 (High)

Detect to Protect

2 giorni, 4 ore e 54 minuti

Description

Vulnerabilità dell’Esecuzione dei codici da remoto dello strumento diagnostico del Supporto tecnico Microsoft

Detection

10 agosto 2022 alle ore 11:22

Opt-in Protection

11 agosto 2022 alle ore 18:38

Global Protection

12 agosto 2022, ore 16:16

Name

Esecuzione dei codici da remoto di Apache Spark

CVE

CVE-2022-33891

Severity Score

8.8 (High)

Detect to Protect

1 giorno, 7 ore e 17 minuti

Description

L’IU di Apache Sparke offre la possibilità di abilitare gli ACL tramite l’opzione di configurazione spark.acls.enable. Con un filtro di autenticazione, tale opzione verifica se un utente detiene o meno l’autorizzazione a visualizzare o modificare l’applicazione. Se gli ACL sono abilitati, un codice di percorso nel HttpSecurityFilter può consentire a qualcuno di effettuare l’impersonificazione fornendo un nome utente arbitrario. Un utente malintenzionato potrebbe, quindi, essere in grado di raggiungere una funzione di controllo delle autorizzazioni, che in ultima analisi creerà un comando di shell Unix basato sul suo input ed eseguirlo. Questo comporterà l’esecuzione arbitraria del comando di shell mentre l’utente Spark funziona attualmente come

Detection

19 luglio 2022, ore 10:06

Opt-in Protection

19 luglio 2022, ore 19:25

Global Protection

20 luglio 2022, ore 17:23

Name

Esecuzione dei codici da remoto dello strumento diagnostico del Supporto tecnico Microsoft

CVE

CVE-2022-30190

Severity Score

7.8 (High)

Detect to Protect

1 giorno, 8 ore e 17 minuti

Description

Vulnerabilità nell’Esecuzione dei codici da remoto dello strumento diagnostico del Supporto tecnico Microsoft (MSDT)

Detection

31 maggio 2022, ore 8:43

Opt-in Protection

31 maggio 2022, ore 22:06

Global Protection

1° giugno 2022, ore 17:00

Name

Esecuzione dei codici da remoto della funzione cloud di VMware Tanzu Spring

CVE

CVE-2022-22963

Severity Score

9.8 (Critical)

Detect to Protect

2 giorni, 1 ora e 54 minuti

Description

Nelle versioni della funzione cloud Spring 3.1.6, 3.2.2 e nelle versioni precedenti non supportate, in fase di utilizzo della funzionalità di routing è possibile, per un utente, fornire uno SpEL appositamente creato come espressione del routing, che può comportare un’esecuzione dei codici da remoto e l’accesso alle risorse locali

Detection

30 marzo 2022, ore 18:00

Opt-in Protection

30 marzo 2022, ore 23:09

Global Protection

1° aprile 2022, ore 19:54

Name

Log4shell

CVE

CVE-2021-44228

Severity Score

10.0 (Critical)

Detect to Protect

17 ore e 2 minuti

Description

Log4j2 2.0-beta9 di Apache attraverso le funzionalità JNDI 2.15.0 (esclusi i rilasci di sicurezza 2.12.2, 2.12.3 e 2.3.1) utilizzate nella configurazione, nei messaggi di registro e nei parametri non protegge contro l’LDAP e da altri endpoint correlati controllati dall’hacker. L’hacker che riesce a controllare i messaggi di registro o i relativi parametri può eseguire un codice arbitrario caricato dai server LDAP quando la funzione message lookup substitution è abilitata

Detection

10 dicembre 2021, ore 20:45

Opt-in Protection

11 dicembre 2021, ore 3:16

Global Protection

11 dicembre 2021, ore 13:47

Name

Attacco path-trasversal del server HTTP Apache

CVE

CVE-2021-41773

Severity Score

7.5 (High)

Detect to Protect

1 giorno, 16 ore e 46 minuti

Description

È stato riscontrato un difetto in una modifica effettuata nella normalizzazione del percorso nel Server HTTP 2.4.49 di Apache. L’hacker è riuscito a utilizzare un attacco path-trasversal per mappare gli URL in file fuori dalle directory configurate con istruzione di tipo Alias. Se i file fuori da queste directory non sono protetti dalla consueta configurazione predefinita con il parametro “require all denied”, queste richieste possono andare a buon fine. Se anche gli script CGI sono abilitati per questi percorsi di tipo alias, questo potrebbe consentire un’esecuzione dei codici da remoto

Detection

6 ottobre 2021, ore 7:19

Opt-in Protection

7 ottobre 2021, ore 14:01

Global Protection

8 ottobre 2021, ore 12:05

Name

Scambio password Autodiscover

CVE

Severity Score

(Critical)

Detect to Protect

5 giorni, 5 ore e 30 minuti

Description

Detection

30 settembre 2021, ore 14:33

Opt-in Protection

30 settembre 2021, ore 17:40

Global Protection

5 ottobre 2021, ore 20:03

Name

RCE VMware vCenter (II)

CVE

CVE-2021-22005

Severity Score

9.8 (Critical)

Detect to Protect

3 giorni, 10 ore e 1 minuto

Description

Il Server vCenter contiene una vulnerabilità di caricamento arbitrario dei file nel servizio Analytics. Un utente malintenzionato con accesso alla rete tramite porta 443 sul Server vCenter potrebbe sfruttare questo problema per eseguire il codice sul Server vCenter caricando un file appositamente creato

Detection

23 settembre 2021, ore 8:36

Opt-in Protection

23 settembre 2021, ore 18:23

Global Protection

26 settembre 2021, ore 18:37

Name

Vulnerabilità RCE PrintNightmare Spooler

CVE

CVE-2021-1675

Severity Score

8.8 (High)

Detect to Protect

6 giorni, 6 ore e 28 minuti

Description

Elevazione della vulnerabilità dei privilegi di Windows Print Spooler

Detection

5 luglio 2021, ore 12:16

Opt-in Protection

11 luglio 2021, ore 10:52

Global Protection

11 luglio 2021, ore 18:44

Name

Sphere Client (HTML5) Remote Code Execution

CVE

CVE-2021-21985

Severity Score

9.8 (Critical)

Detect to Protect

3 days, 11 hours, 29 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability due to lack of input validation in the Virtual SAN Health Check plug-in which is enabled by default in vCenter Server. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server

Detection

May 31, 2021 at 10:55 AM

Opt-in Protection

June 1, 2021 at 9:47 PM

Global Protection

June 3, 2021 at 10:24 PM

Name

F5 Vulnerability

CVE

CVE-2021-22986

Severity Score

9.8 (Critical)

Detect to Protect

2 days, 19 hours, 38 minutes

Description

On specific versions of BIG-IP and BIG-IQ , the iControl REST interface has an unauthenticated remote command execution vulnerability

Detection

Mar 20th, 2021 at 11:43 PM

Opt-in Protection

Mar 23rd, 2021 at 12:12 PM

Global Protection

March 23, 2021 at 7:21 PM

Name

MS Exchange SSRF

CVE

CVE-2021-26855

Severity Score

9.8 (Critical)

Detect to Protect

4 days, 2 hours, 23 minutes

Description

Microsoft Exchange Server Remote Code Execution Vulnerability

Detection

March 3, 2021 at 11:03 AM

Opt-in Protection

March 4, 2021 at 10:48 PM

Global Protection

March 7, 2021 at 1:26 PM

Name

VMWare VCenter RCE

CVE

CVE-2021-21972

Severity Score

9.8 (Critical)

Detect to Protect

1 day, 1 hour, 57 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.

Detection

February 25, 2021 at 10:06 AM

Opt-in Protection

February 25, 2021 at 7:16 PM

Global Protection

February 26, 2021 at 12:03 PM

Name

Apache Struts 2 File Upload Remote Code Execution

CVE

CVE-2023-50164

Severity Score

9.8

Detect to Protect

1 giorno

Description

Esecuzione di codice remoto tramite logica di caricamento di file difettosa nel framework web Apache Struts 2, consentendo il caricamento di file e l'esecuzione di codice arbitrari

Detection

POC disponibile – 12 dicembre 2023

Opt-in Protection

12 dicembre 2023

Global Protection

13 dicembre 2023

Name

Vulnerabilità nell’escalation dei privilegi dell’IU web Cisco IOS XE

CVE

CVE-2023-20198

Severity Score

10

Detect to Protect

2 giorni

Description

L'escalation dei privilegi è possibile nei dispositivi Cisco con connessione Internet che dispongono di IOS XE e hanno la funzionalità dell'interfaccia utente Web HTTP in esecuzione

Detection

POC disponibile – 30 ottobre 2023 20:30 UTC

Opt-in Protection

31 ottobre 2023 20:00 UTC

Global Protection

1 novembre 2023 20:00 UTC

Name

cURL SOCKS5 Proxy Heap Buffer Overflow

CVE

CVE-2023-38545

Severity Score

7.5

Detect to Protect

1 giorno e 3 ore

Description

Una vulnerabilità di Heap Buffer Overflow nella risoluzione dell'hostname durante un handshake del proxy SOCKS5 può portare all'esecuzione di codice dannoso da parte di un'implementazione vulnerabile di libcurl.

Detection

11 ottobre 2023 06:30 UTC

Opt-in Protection

11 ottobre 2023 20:00 UTC

Global Protection

12 ottobre 2023 9:30 UTC

Name

Vulnerabilità nell’escalation dei privilegi di Atlassian Confluence Server & Data Center

CVE

CVE-2023-22515

Severity Score

10

Detect to Protect

1 giorno e 23 ore

Description

Vulnerabilità nell’escalation dei privilegi nella versione on-premises di Atlassian Confluence Server & Data Center, che consente agli aggressori di sfruttare un endpoint vulnerabile per creare utenti amministratori non autorizzati e ottenere l'accesso al server.

Detection

4 ottobre 2023 13:00 UTC

Opt-in Protection

5 ottobre 2023 11:00 UTC

Global Protection

6 ottobre 2023 12:00 UTC

Name

MOVEit Transfer SQLi

CVE

CVE-2023-34362

Severity Score

10

Detect to Protect

3 giorni e 6 ore

Description

Un SQLi all’interno della soluzione di trasferimento gestito dei file (MFT) MOVEit Transfer di InProgress consente agli hacker di eseguire comandi SQL, cosa che può comportare l’installazione di una backdoor dedicata, consentendo l’esecuzione di codici da remoto (RCE).

Detection

6 giugno 2023, ore 8:00

Opt-in Protection

8 giugno 2023, ore 16:30

Global Protection

9 giugno 2023, ore 14:00

Name

Vulnerabilità Microsoft Outlook Remote Hash

CVE

CVE-2023-23397

Severity Score

9.8

Detect to Protect

0*

Description

Elevazione della vulnerabilità dei privilegi di Microsoft Outlook *Al minuto zero: Il traffico SMB in uscita viene bloccato in maniera predefinita sul firewall di Cato

Detection

3 marzo 2023 alle ore 8:02

Opt-in Protection

3 marzo 2023, ore 8:02

Global Protection

3 marzo 2023, ore 8:02

Name

OWASSRF, MS Exchange RCE

CVE

CVE-2022-41082

Severity Score

8.8

Detect to Protect

23 ore e 45 minuti

Description

Parte dell’exploit chain (o catena di sfruttamento) di ProxyNotShell, alcune versioni di MS Exchange sono vulnerabili all’esecuzione di codici da remoto (RCE)

Detection

21 dicembre 2022 alle ore 17:00

Opt-in Protection

21 dicembre 2022 alle ore 23:29

Global Protection

22 dicembre 2022 alle ore 16:45

Name

Esecuzione dei codici da remoto Microsoft Exchange

CVE

CVE-2022-41040, CVE-2022-41082

Severity Score

8.8

Detect to Protect

2 giorni, 10 ore e 6 minuti

Description

Elevazione della vulnerabilità dei privilegi del server di Microsoft Exchange

Detection

30 settembre 2022 alle ore 13:19

Opt-in Protection

30 settembre 2022 alle ore 23:25

Global Protection

2 ottobre 2022 alle ore 00:40

Name

DogWalk – Esecuzione dei codici da remoto dello strumento diagnostico del Supporto tecnico Microsoft

CVE

CVE-2022-34713

Severity Score

7.8

Detect to Protect

2 giorni, 4 ore e 54 minuti

Description

Vulnerabilità dell’Esecuzione dei codici da remoto dello strumento diagnostico del Supporto tecnico Microsoft

Detection

10 agosto 2022 alle ore 11:22

Opt-in Protection

11 agosto 2022 alle ore 18:38

Global Protection

12 agosto 2022, ore 16:16

Name

Esecuzione dei codici da remoto di Apache Spark

CVE

CVE-2022-33891

Severity Score

8.8

Detect to Protect

1 giorno, 7 ore e 17 minuti

Description

L’IU di Apache Sparke offre la possibilità di abilitare gli ACL tramite l’opzione di configurazione spark.acls.enable. Con un filtro di autenticazione, tale opzione verifica se un utente detiene o meno l’autorizzazione a visualizzare o modificare l’applicazione. Se gli ACL sono abilitati, un codice di percorso nel HttpSecurityFilter può consentire a qualcuno di effettuare l’impersonificazione fornendo un nome utente arbitrario. Un utente malintenzionato potrebbe, quindi, essere in grado di raggiungere una funzione di controllo delle autorizzazioni, che in ultima analisi creerà un comando di shell Unix basato sul suo input ed eseguirlo. Questo comporterà l’esecuzione arbitraria del comando di shell mentre l’utente Spark funziona attualmente come

Detection

19 luglio 2022, ore 10:06

Opt-in Protection

19 luglio 2022, ore 19:25

Global Protection

20 luglio 2022, ore 17:23

Name

Esecuzione dei codici da remoto dello strumento diagnostico del Supporto tecnico Microsoft

CVE

CVE-2022-30190

Severity Score

7.8

Detect to Protect

1 giorno, 8 ore e 17 minuti

Description

Vulnerabilità nell’Esecuzione dei codici da remoto dello strumento diagnostico del Supporto tecnico Microsoft (MSDT)

Detection

31 maggio 2022, ore 8:43

Opt-in Protection

31 maggio 2022, ore 22:06

Global Protection

1° giugno 2022, ore 17:00

Name

Esecuzione dei codici da remoto della funzione cloud di VMware Tanzu Spring

CVE

CVE-2022-22963

Severity Score

9.8

Detect to Protect

2 giorni, 1 ora e 54 minuti

Description

Nelle versioni della funzione cloud Spring 3.1.6, 3.2.2 e nelle versioni precedenti non supportate, in fase di utilizzo della funzionalità di routing è possibile, per un utente, fornire uno SpEL appositamente creato come espressione del routing, che può comportare un’esecuzione dei codici da remoto e l’accesso alle risorse locali

Detection

30 marzo 2022, ore 18:00

Opt-in Protection

30 marzo 2022, ore 23:09

Global Protection

1° aprile 2022, ore 19:54

Name

Log4shell

CVE

CVE-2021-44228

Severity Score

10.0

Detect to Protect

17 ore e 2 minuti

Description

Log4j2 2.0-beta9 di Apache attraverso le funzionalità JNDI 2.15.0 (esclusi i rilasci di sicurezza 2.12.2, 2.12.3 e 2.3.1) utilizzate nella configurazione, nei messaggi di registro e nei parametri non protegge contro l’LDAP e da altri endpoint correlati controllati dall’hacker. L’hacker che riesce a controllare i messaggi di registro o i relativi parametri può eseguire un codice arbitrario caricato dai server LDAP quando la funzione message lookup substitution è abilitata

Detection

10 dicembre 2021, ore 20:45

Opt-in Protection

11 dicembre 2021, ore 3:16

Global Protection

11 dicembre 2021, ore 13:47

Name

Attacco path-trasversal del server HTTP Apache

CVE

CVE-2021-41773

Severity Score

7.5

Detect to Protect

1 giorno, 16 ore e 46 minuti

Description

È stato riscontrato un difetto in una modifica effettuata nella normalizzazione del percorso nel Server HTTP 2.4.49 di Apache. L’hacker è riuscito a utilizzare un attacco path-trasversal per mappare gli URL in file fuori dalle directory configurate con istruzione di tipo Alias. Se i file fuori da queste directory non sono protetti dalla consueta configurazione predefinita con il parametro “require all denied”, queste richieste possono andare a buon fine. Se anche gli script CGI sono abilitati per questi percorsi di tipo alias, questo potrebbe consentire un’esecuzione dei codici da remoto

Detection

6 ottobre 2021, ore 7:19

Opt-in Protection

7 ottobre 2021, ore 14:01

Global Protection

8 ottobre 2021, ore 12:05

Name

Scambio password Autodiscover

CVE

Severity Score

Detect to Protect

5 giorni, 5 ore e 30 minuti

Description

Detection

30 settembre 2021, ore 14:33

Opt-in Protection

30 settembre 2021, ore 17:40

Global Protection

5 ottobre 2021, ore 20:03

Name

RCE VMware vCenter (II)

CVE

CVE-2021-22005

Severity Score

9.8

Detect to Protect

3 giorni, 10 ore e 1 minuto

Description

Il Server vCenter contiene una vulnerabilità di caricamento arbitrario dei file nel servizio Analytics. Un utente malintenzionato con accesso alla rete tramite porta 443 sul Server vCenter potrebbe sfruttare questo problema per eseguire il codice sul Server vCenter caricando un file appositamente creato

Detection

23 settembre 2021, ore 8:36

Opt-in Protection

23 settembre 2021, ore 18:23

Global Protection

26 settembre 2021, ore 18:37

Name

Vulnerabilità RCE PrintNightmare Spooler

CVE

CVE-2021-1675

Severity Score

8.8

Detect to Protect

6 giorni, 6 ore e 28 minuti

Description

Elevazione della vulnerabilità dei privilegi di Windows Print Spooler

Detection

5 luglio 2021, ore 12:16

Opt-in Protection

11 luglio 2021, ore 10:52

Global Protection

11 luglio 2021, ore 18:44

Name

Sphere Client (HTML5) Remote Code Execution

CVE

CVE-2021-21985

Severity Score

9.8

Detect to Protect

3 days, 11 hours, 29 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability due to lack of input validation in the Virtual SAN Health Check plug-in which is enabled by default in vCenter Server. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server

Detection

May 31, 2021 at 10:55 AM

Opt-in Protection

June 1, 2021 at 9:47 PM

Global Protection

June 3, 2021 at 10:24 PM

Name

F5 Vulnerability

CVE

CVE-2021-22986

Severity Score

9.8

Detect to Protect

2 days, 19 hours, 38 minutes

Description

On specific versions of BIG-IP and BIG-IQ , the iControl REST interface has an unauthenticated remote command execution vulnerability

Detection

Mar 20th, 2021 at 11:43 PM

Opt-in Protection

Mar 23rd, 2021 at 12:12 PM

Global Protection

March 23, 2021 at 7:21 PM

Name

MS Exchange SSRF

CVE

CVE-2021-26855

Severity Score

9.8

Detect to Protect

4 days, 2 hours, 23 minutes

Description

Microsoft Exchange Server Remote Code Execution Vulnerability

Detection

March 3, 2021 at 11:03 AM

Opt-in Protection

March 4, 2021 at 10:48 PM

Global Protection

March 7, 2021 at 1:26 PM

Name

VMWare VCenter RCE

CVE

CVE-2021-21972

Severity Score

9.8

Detect to Protect

1 day, 1 hour, 57 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.

Detection

February 25, 2021 at 10:06 AM

Opt-in Protection

February 25, 2021 at 7:16 PM

Global Protection

February 26, 2021 at 12:03 PM

Perché la Mitigazione CVE rappresenta una sfida di tale portata?

Spesso, i clienti hanno difficoltà con i processi, le risorse e il tempo necessario a proteggere le proprie reti dalle CVE emergenti. Ecco il motivo:

Il venditore deve ricercare la CVE e sviluppare una firma

Il cliente deve testare la firma all’interno di una finestra di manutenzione

La fase di test da parte del cliente deve garantire che la firma non violi il traffico o che non influisca sulle prestazioni delle ispezioni o sull’esperienza utente

Solo una volta superati i test, la firma può essere attivata

Questo processo intensivo delle risorse comporta il fatto che molti clienti spostino il loro Sistema di prevenzione delle intrusioni (IPS) in modalità rilevamento o che rimangano indietro nel mantenimento di una strategia di sicurezza ottimale. Questo aumenta il rischio di una violazione mentre gli hacker tentano di sfruttare le CVE prive di patch, incluse quelle vecchie.

Patching virtuale completamente automatizzato delle CVE emergenti con Cato Networks

La procedura di Cato per il patching virtuale si compone di quattro fasi, eseguite dal team di sicurezza di Cato:

Valutazione

Valutazione dell’ambito della CVE e ricerca della vulnerabilità. Nello specifico, qualsiasi episodio di attacco che utilizzi questa CVE in libertà.

Comprendere quali sistemi vengono interessati e come gli autori della minaccia eseguono l’attacco

Sviluppo

Creazione di una nuova regola IPS per mettere virtualmente una patch alla vulnerabilità

Eliminazione dei falsi positivi sulla base dei test retrospettivi rispetto ai meta dati del traffico

Entrata in azione della protezione

Impiego selettivo del patch virtuale in “modalità simulazione”

Abilitazione dell’entrata in azione preventiva per clienti specifici

Protezione globale

Spostamento della patch virtuale in modalità di prevenzione

Applicazione della patch virtuale su tutti i clienti e su tutto il traffico

Tale processo funziona senza nessun coinvolgimento delle risorse del cliente e senza metterne a rischio l’operatività aziendale.

Request a Demo