Détection de l’exploitation de CVE-2020-17506 et CVE-2020-17505 (Artica Proxy)

Par le post d’aujourd’hui, nous voulons vous informer de plusieurs vulnérabilités récemment découvertes dans Artica Proxy, un système permettant aux utilisateurs ayant des compétences techniques de base de gérer un serveur proxy en mode transparent, ainsi que la connexion à AD et OpenLDAP, version 4.30.

La vulnérabilité récemment signalée CVE-2020-17506 de Artica Proxy permet aux hackers d’abuser de l’API du système pour contourner l’authentification à distance et obtenir des privilèges de super administrateur.

Après que les hackers pénètrent dans le système compromis avec des privilèges root et reçoivent la commande de l’arrière-plan web, ils peuvent injecter des commandes dans un fichier PHP, comme signalé par CVE-2020-17505. L’injection de shell et l’accès direct au système compromis équivaut souvent à un compromis total de l’application puisque les attaquants obtiennent le droit d’apporter des modifications majeures au système.

Les utilisateurs de SOC Prime Threat Detection Marketplace peuvent détecter les vulnérabilités signalées avec les règles Sigma communautaires publiées par Halil Ibrahim Cosgun:

Contournement de l’authentification du proxy web Artica (CVE-2020-17506)

Injection de commande OS authentifiée du proxy web Artica (CVE-2020-17505)

Les règles ont des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black

MITRE ATT&CK: 

Tactiques : Accès initial

Techniques : Exploiter une application accessible au public (T1190)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement.

Or rejoindre le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.