Erkennung der Ausnutzung von CVE-2020-17506 und CVE-2020-17505 (Artica Proxy)

Mit dem heutigen Beitrag möchten wir Sie über mehrere kürzlich entdeckte Schwachstellen in Artica Proxy informieren, einem System, das es Benutzern mit grundlegenden technischen Fähigkeiten ermöglicht, einen Proxy-Server im transparenten Modus zu verwalten, sowie eine Verbindung zu AD und OpenLDAP, Version 4.30, herzustellen.

Die frisch gemeldete CVE-2020-17506 Schwachstelle von Artica Proxy ermöglicht es Hackern, die API des Systems zu missbrauchen und aus der Ferne die Authentifizierung zu umgehen und Super-Admin-Rechte zu erhalten.

Nachdem die Hacker in das kompromittierte System mit Root-Rechten eingedrungen sind und den Befehl des Web-Backends erhalten, können sie Befehle in eine PHP-Datei injizieren, wie berichtet unter CVE-2020-17505. Die Shell-Injektion und der direkte Zugriff auf das kompromittierte System sind oft gleichbedeutend mit einer vollständigen Kompromittierung der Anwendung, da Angreifer die Rechte erhalten, wesentliche Änderungen am System vorzunehmen.

Benutzer des SOC Prime Threat Detection Marketplace können die gemeldeten Schwachstellen mit Community Sigma-Regeln erkennen, die von Halil Ibrahim Cosgun:

Artica Web Proxy Authentication Bypass (CVE-2020-17506)

Artica Web Proxy Authenticated OS Command Injection (CVE-2020-17505)

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

MITRE ATT&CK: 

Taktiken: Erste Zugriffsberechtigung

Techniken: Ausnutzen von öffentlich zugänglichen Anwendungen (T1190)

Bereit, SOC Prime TDM auszuprobieren? Registrieren Sie sich kostenlos.

Or treten Sie dem Threat Bounty Program bei um Ihre eigenen Inhalte zu erstellen und sie mit der TDM-Community zu teilen.