Détection de la Vulnérabilité Critique dans Aruba ClearPass (CVE-2020-7115)

[post-views]
septembre 18, 2020 · 2 min de lecture
Détection de la Vulnérabilité Critique dans Aruba ClearPass (CVE-2020-7115)

Aruba Networks, la filiale de Hewlett Packard Enterprise, a publié un avis de sécurité sur plusieurs vulnérabilités récemment découvertes dans leur produit exploité par des clients d’entreprise dans le monde entier. Dans cet article, nous couvrirons les détails de la vulnérabilité d’exécution de commande à distance la plus grave signalée dans Aruba ClearPass (CVE-2020-7115) avec un CVSS de 8.1, et du contenu pour détecter le contournement de l’authentification dans l’interface web de ClearPass Policy Manager.

Contournement d’authentification critique

La grave vulnérabilité CVE-2020-7115 a été signalée par dozer.nz. Selon la recherche, les résultats suspects lors de l’examen d’une attaque potentielle sur ClearPass ont permis d’identifier le point de terminaison renvoyant une réponse 200 avec un message informant qu’aucun fichier n’a été téléchargé. Ce fait a incité à approfondir l’examen de ClearPass, et les chercheurs ont découvert que les attaquants pouvaient exécuter un code arbitraire en injectant des arguments à OpenSSL et en abusant du script de vérification du certificat client. De plus, l’utilisation d’un caractère générique a rendu le contournement possible même sans connaître les noms des fichiers téléchargés.

Mitigation et détection de CVE-2020-7115

La vulnérabilité critique CVE-2020-7115 dans ClearPass WebUI a été signalée par les chercheurs à Aruba, et les procédures de sécurité pour atténuer la vulnérabilité RCE et plusieurs autres sont décrites dans le Avis de sécurité produit d’Aruba.

Pour détecter Aruba ClearPass RCE, Emir Erdogan, l’un des participants les plus actifs du programme Threat Bounty, a développé une règle Sigma communautaire https://tdm.socprime.com/tdm/info/E6jmiXJqT1ql/bX59oHQBQAH5UgbBteRm/

La règle comporte des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Accès initial

Techniques : Exploiter une application accessible au public (T1190)

 

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités