Rilevamento dello sfruttamento di CVE-2020-17506 e CVE-2020-17505 (Artica Proxy)

Con il post di oggi, vogliamo informarvi su diverse vulnerabilità recentemente scoperte in Artica Proxy, un sistema che consente agli utenti con competenze tecniche di base di gestire un server proxy in modalità trasparente, oltre alla connessione a AD e OpenLDAP, versione 4.30.

La vulnerabilità appena segnalata CVE-2020-17506 di Artica Proxy consente agli hacker di abusare dell’API del sistema e bypassare l’autenticazione da remoto ottenendo privilegi di super amministratore.

Dopo che gli hacker penetrano nel sistema compromesso con privilegi di root e ricevono il comando del back-end web, possono iniettare comandi in un file PHP, come riportato da CVE-2020-17505. L’iniezione della shell e l’accesso diretto al sistema compromesso spesso equivalgono a un totale compromesso dell’applicazione poiché gli aggressori ottengono i diritti per apportare modifiche significative al sistema.

Gli utenti del SOC Prime Threat Detection Marketplace possono rilevare le vulnerabilità segnalate con le regole Sigma della community pubblicate da Halil Ibrahim Cosgun:

Artica Web Proxy Authentication Bypass (CVE-2020-17506)

Artica Web Proxy Authenticated OS Command Injection (CVE-2020-17505)

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

MITRE ATT&CK: 

Tattiche: Accesso Iniziale

Tecniche: Sfruttare Applicazioni Disponibili Pubblicamente (T1190)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente.

Or unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.