Rilevamento della Vulnerabilità Critica in Aruba ClearPass (CVE-2020-7115)

[post-views]
Settembre 18, 2020 · 2 min di lettura
Rilevamento della Vulnerabilità Critica in Aruba ClearPass (CVE-2020-7115)

Aruba Networks, la sussidiaria di Hewlett Packard Enterprise, ha rilasciato un Security Advisory su molteplici vulnerabilità recentemente scoperte nel loro prodotto utilizzato da clienti aziendali in tutto il mondo. In questo articolo, copriremo i dettagli della più grave vulnerabilità di Remote Command Execution segnalata in Aruba ClearPass (CVE-2020-7115) con CVSS 8.1 e il contenuto per rilevare il bypass dell’autenticazione nell’interfaccia web di ClearPass Policy Manager.

Bypass dell’Autenticazione Critico

La grave vulnerabilità CVE-2020-7115 è stata segnalata da dozer.nz. Secondo la ricerca, i risultati sospetti durante l’esame di un potenziale attacco su ClearPass hanno permesso di identificare l’endpoint che restituiva una risposta 200 con un messaggio che informava della mancata carica di file. Questo fatto ha spinto a scavare ulteriormente in ClearPass, e i ricercatori hanno scoperto che gli attaccanti potevano eseguire codice arbitrario iniettando argomenti a OpenSSL e abusando dello script di verifica del certificato client. Inoltre, l’uso di un carattere jolly ha reso possibile il bypass anche senza conoscere i nomi dei file caricati.

Mitigazione e Rilevamento di CVE-2020-7115

La critica vulnerabilità CVE-2020-7115 in ClearPass WebUI è stata segnalata dai ricercatori ad Aruba, e le procedure di sicurezza per mitigare la vulnerabilità RCE e molte altre sono descritte nel Aruba Product Security Advisory.

Per rilevare Aruba ClearPass RCE, Emir Erdogan, uno dei partecipanti più attivi al Threat Bounty Program, ha sviluppato una regola Sigma per la comunità https://tdm.socprime.com/tdm/info/E6jmiXJqT1ql/bX59oHQBQAH5UgbBteRm/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Accesso Iniziale

Tecniche: Sfrutta Applicazione Esposita al Pubblico (T1190)

 

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la community TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati