Détection de la Vulnérabilité Critique dans Aruba ClearPass (CVE-2020-7115)

Eugene Tkachenko Responsable Programme Communautaire

Add to my AI research

Aruba Networks, la filiale de Hewlett Packard Enterprise, a publié un avis de sécurité sur plusieurs vulnérabilités récemment découvertes dans leur produit exploité par des clients d’entreprise dans le monde entier. Dans cet article, nous couvrirons les détails de la vulnérabilité d’exécution de commande à distance la plus grave signalée dans Aruba ClearPass (CVE-2020-7115) avec un CVSS de 8.1, et du contenu pour détecter le contournement de l’authentification dans l’interface web de ClearPass Policy Manager.

Contournement d’authentification critique

La grave vulnérabilité CVE-2020-7115 a été signalée par dozer.nz. Selon la recherche, les résultats suspects lors de l’examen d’une attaque potentielle sur ClearPass ont permis d’identifier le point de terminaison renvoyant une réponse 200 avec un message informant qu’aucun fichier n’a été téléchargé. Ce fait a incité à approfondir l’examen de ClearPass, et les chercheurs ont découvert que les attaquants pouvaient exécuter un code arbitraire en injectant des arguments à OpenSSL et en abusant du script de vérification du certificat client. De plus, l’utilisation d’un caractère générique a rendu le contournement possible même sans connaître les noms des fichiers téléchargés.

Mitigation et détection de CVE-2020-7115

La vulnérabilité critique CVE-2020-7115 dans ClearPass WebUI a été signalée par les chercheurs à Aruba, et les procédures de sécurité pour atténuer la vulnérabilité RCE et plusieurs autres sont décrites dans le Avis de sécurité produit d’Aruba.

Pour détecter Aruba ClearPass RCE, Emir Erdogan, l’un des participants les plus actifs du programme Threat Bounty, a développé une règle Sigma communautaire https://tdm.socprime.com/tdm/info/E6jmiXJqT1ql/bX59oHQBQAH5UgbBteRm/

La règle comporte des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Accès initial

Techniques : Exploiter une application accessible au public (T1190)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore

Fév 11/2025 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko

Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes

Fév 5/2025 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko

Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants

Jan 31/2025 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko