Detección de Vulnerabilidad Crítica en Aruba ClearPass (CVE-2020-7115)

[post-views]
septiembre 18, 2020 · 2 min de lectura
Detección de Vulnerabilidad Crítica en Aruba ClearPass (CVE-2020-7115)

Aruba Networks, la subsidiaria de Hewlett Packard Enterprise, ha publicado un Aviso de Seguridad sobre múltiples vulnerabilidades recientemente descubiertas en su producto, utilizado por clientes empresariales en todo el mundo. En este artículo, cubriremos los detalles de la más grave de las vulnerabilidades reportadas de Ejecución Remota de Comandos en Aruba ClearPass (CVE-2020-7115) con CVSS 8.1, y contenido para detectar la omisión de autenticación en la interfaz web de ClearPass Policy Manager.

Omisión Crítica de Autenticación

La grave vulnerabilidad CVE-2020-7115 fue reportada por dozer.nz. Según la investigación, los resultados sospechosos al analizar un posible ataque a ClearPass hicieron posible identificar el endpoint que devolvía una respuesta 200 con un mensaje informando que no se había subido ningún archivo. Este hecho impulsó a investigar más a fondo ClearPass, y los investigadores descubrieron que los atacantes podían ejecutar código arbitrario inyectando argumentos en OpenSSL y abusando del script de verificación de certificados de cliente. Además, el uso de un carácter comodín hizo posible la omisión incluso sin conocer los nombres de los archivos cargados.

Mitigación y Detección de CVE-2020-7115

La crítica vulnerabilidad CVE-2020-7115 en ClearPass WebUI fue reportada por investigadores a Aruba, y los procedimientos de seguridad para mitigar la vulnerabilidad RCE y otras varias se describen en el Aviso de Seguridad de Producto de Aruba.

Para detectar RCE en Aruba ClearPass, Emir Erdogan, uno de los participantes más activos en el Programa de Recompensas de Amenazas, desarrolló una regla Sigma comunitaria https://tdm.socprime.com/tdm/info/E6jmiXJqT1ql/bX59oHQBQAH5UgbBteRm/

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Acceso Inicial

Técnicas: Explotación de Aplicación Expuesta (T1190)

 

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias