Aruba ClearPass의 심각한 취약점에 대한 탐지 (CVE-2020-7115)

Hewlett Packard Enterprise의 자회사인 Aruba Networks가 전 세계 기업 고객이 사용하는 제품에서 최근 발견된 다수의 취약점에 대한 보안 권고문을 발표했습니다. 이 기사에서는 CVSS 8.1의 Aruba ClearPass에서 보고된 가장 심각한 원격 명령 실행 취약점(CVE-2020-7115)의 세부 사항과 ClearPass Policy Manager 웹 인터페이스에서 인증 우회를 탐지하는 콘텐츠를 다룰 것입니다.

심각한 인증 우회

심각한 CVE-2020-7115 취약점은 dozer.nz에 의해 보고되었습니다. 연구에 따르면, ClearPass에 대한 잠재적인 공격을 살펴보는 동안 수상한 결과로 인해 파일이 업로드되지 않았다는 메시지를 반환하는 200 응답을 반환하는 엔드포인트를 식별할 수 있었습니다. 이 사실은 ClearPass를 더 깊이 조사하도록 유도했으며, 연구원들은 공격자가 OpenSSL에 인수를 주입하고 클라이언트 인증서 검증 스크립트를 악용하여 임의의 코드를 실행할 수 있음을 발견했습니다. 더욱이 와일드카드 문자의 사용은 업로드된 파일 이름을 알지 못하더라도 우회를 가능하게 만들었습니다.

CVE-2020-7115 완화 및 탐지

ClearPass WebUI의 중요한 CVE-2020-7115 취약점은 연구원들에 의해 Aruba에 보고되었으며, RCE 취약점 및 기타 여러 취약점을 완화하기 위한 보안 절차는 Aruba 제품 보안 권고문.

Aruba ClearPass RCE를 탐지하기 위해, Emir Erdogan는 Threat Bounty Program의 가장 활발한 참가자 중 한 명으로, 커뮤니티 Sigma 규칙을 개발했습니다. https://tdm.socprime.com/tdm/info/E6jmiXJqT1ql/bX59oHQBQAH5UgbBteRm/

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 액세스

기법: 공개 접속 사이트의 애플리케이션 악용(T1190)

SOC Prime TDM을 시도할 준비가 되셨습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하세요 여러분의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.