Erkennung einer kritischen Sicherheitslücke in Aruba ClearPass (CVE-2020-7115)

[post-views]
September 18, 2020 · 2 min zu lesen
Erkennung einer kritischen Sicherheitslücke in Aruba ClearPass (CVE-2020-7115)

Aruba Networks, die Tochtergesellschaft von Hewlett Packard Enterprise, hat einen Security Advisory zu kürzlich entdeckten mehreren Schwachstellen in ihrem Produkt veröffentlicht, das von Unternehmenskunden weltweit genutzt wird. In diesem Artikel werden wir die Details der schwerwiegendsten der gemeldeten Remote Command Execution Schwachstellen in Aruba ClearPass (CVE-2020-7115) mit CVSS 8.1 behandeln und Inhalte zur Erkennung des Authentication Bypass in der ClearPass Policy Manager Weboberfläche vorstellen.

Kritischer Authentication Bypass

Die schwerwiegende CVE-2020-7115 Schwachstelle wurde gemeldet von dozer.nz. Laut der Forschung machten verdächtige Ergebnisse beim Durchsuchen eines potenziellen Angriffs auf ClearPass es möglich, den Endpunkt zu identifizieren, der eine 200-Antwort mit einer Nachricht zurückgab, die darüber informierte, dass keine Datei hochgeladen wurde. Dieser Umstand veranlasste weitere Untersuchungen in ClearPass, und die Forscher fanden heraus, dass Angreifer beliebigen Code ausführen konnten, indem sie Argumente in OpenSSL injizierten und das Überprüfungsskript für Client-Zertifikate missbrauchten. Darüber hinaus wurde der Bypass durch die Verwendung eines Platzhalterzeichens sogar ohne Kenntnis der hochgeladenen Dateinamen möglich.

CVE-2020-7115 Abmilderung und Erkennung

Die kritische CVE-2020-7115 Schwachstelle in der ClearPass WebUI wurde von Forschern an Aruba gemeldet, und Sicherheitsverfahren zur Abmilderung der RCE-Schwachstelle und mehrerer anderer werden im Aruba Product Security Advisory.

Zur Erkennung von Aruba ClearPass RCE, Emir Erdogan, einer der aktivsten Teilnehmer am Threat Bounty Programm, hat eine Community Sigma-Regel entwickelt. https://tdm.socprime.com/tdm/info/E6jmiXJqT1ql/bX59oHQBQAH5UgbBteRm/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Initialer Zugriff

Techniken: Öffentliche Anwendung ausnutzen (T1190)

 

Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty Programm beitreten um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko
Alle Nachrichten