ヒューレット・パッカード・エンタープライズの子会社であるAruba Networksは、世界中の企業クライアントが活用する同社製品において最近発見された複数の脆弱性に関するセキュリティアドバイザリを公開しました。この記事では、Aruba ClearPassの報告されたリモートコマンド実行の脆弱性(CVE-2020-7115、CVSS 8.1)の中で最も深刻なものの詳細と、ClearPassポリシーマネージャーのWebインターフェイスにおける認証バイパスを検出するためのコンテンツについて説明します。
重大な認証バイパス
深刻なCVE-2020-7115の脆弱性は、 dozer.nzによって報告されました。研究によれば、ClearPassへの潜在的な攻撃を検討する際に、ファイルがアップロードされていないことを知らせるメッセージとともに200の応答を返すエンドポイントを特定することが可能でした。この事実はClearPassをさらに調査する動機となり、研究者たちは攻撃者がOpenSSLに引数を注入し、クライアント証明書検証スクリプトを悪用することで任意のコードを実行できることを発見しました。さらに、ワイルドカード文字の使用により、アップロードされたファイルの名前を知らなくてもバイパスが可能となりました。
CVE-2020-7115の緩和策と検出
ClearPass WebUIの深刻なCVE-2020-7115の脆弱性は研究者によってArubaに報告され、RCE脆弱性およびその他複数の脅威を軽減するためのセキュリティ手順が説明されています Aruba製品セキュリティアドバイザリ.
Aruba ClearPass RCEを検出するには、 Emir Erdogan氏が、Threat Bounty Programの最も積極的な参加者の一人として、コミュニティSigmaルールを開発しました https://tdm.socprime.com/tdm/info/E6jmiXJqT1ql/bX59oHQBQAH5UgbBteRm/
このルールは次のプラットフォーム向けに翻訳されています:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 初期アクセス
技術: パブリックフェイシングアプリケーションのエクスプロイト (T1190)
SOC Prime TDMを試してみませんか? 無料登録。または Threat Bounty Programに参加し 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。
