Detección de explotación de CVE-2020-17506 y CVE-2020-17505 (Artica Proxy)

Con la publicación de hoy, queremos informarle sobre varias vulnerabilidades descubiertas recientemente en Artica Proxy, un sistema que permite a los usuarios con habilidades técnicas básicas gestionar un servidor proxy en modo transparente, así como la conexión a AD y OpenLDAP, versión 4.30.

La recién reportada CVE-2020-17506 vulnerabilidad de Artica Proxy permite a los hackers abusar del API del sistema y eludir remotamente la autenticación para obtener privilegios de superadministrador.

Después de que los hackers penetran en el sistema comprometido con privilegios de root y reciben el comando del back-end web, pueden inyectar comandos en un archivo PHP, como se informó con CVE-2020-17505. La inyección de comandos y el acceso directo al sistema comprometido a menudo equivale a la completa vulneración de la aplicación ya que los atacantes obtienen derechos para realizar cambios importantes en el sistema.

Los usuarios del SOC Prime Threat Detection Marketplace pueden detectar las vulnerabilidades reportadas con reglas Sigma de la comunidad publicadas por Halil Ibrahim Cosgun:

Artica Web Proxy Autenticación Completamente Vulnerable (CVE-2020-17506)

Artica Web Proxy Inyección de Comandos OS Autenticada (CVE-2020-17505)

Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

MITRE ATT&CK: 

Tácticas: Acceso Inicial

Técnicas: Explotar Aplicación Expuesta al Público (T1190)

¿Listo para probar SOC Prime TDM? Regístrate gratis.

Or únete al Programa de Amenazas con Recompensa para crear tu propio contenido y compartirlo con la comunidad TDM.