Detecção de exploração das CVE-2020-17506 e CVE-2020-17505 (Artica Proxy)

[post-views]
Agosto 14, 2020 · 2 min de leitura
Detecção de exploração das CVE-2020-17506 e CVE-2020-17505 (Artica Proxy)

No post de hoje, queremos informá-lo sobre várias vulnerabilidades recentemente descobertas no Artica Proxy, um sistema que permite aos usuários com habilidades técnicas básicas gerenciar um servidor proxy em modo transparente, bem como a conexão com AD e OpenLDAP, versão 4.30.

A recém relatada CVE-2020-17506 vulnerabilidade do Artica Proxy permite que hackers abusem da API do sistema e contornem remotamente a autenticação, obtendo privilégios de superadministrador.

Depois que os hackers penetram no sistema comprometido com privilégios de root e recebem o comando do back-end da web, eles podem injetar comandos em um arquivo PHP, conforme relatado como CVE-2020-17505. A injeção de shell e o acesso direto ao sistema comprometido muitas vezes equivalem a um comprometimento total da aplicação, uma vez que os invasores obtêm direitos para fazer grandes alterações no sistema.

Os usuários do SOC Prime Threat Detection Marketplace podem detectar as vulnerabilidades relatadas com regras Sigma da comunidade publicadas por Halil Ibrahim Cosgun:

Artica Web Proxy Autenticação Bypass (CVE-2020-17506)

Artica Web Proxy Comando OS Injetado Autenticado (CVE-2020-17505)

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black

MITRE ATT&CK: 

Táticas: Acesso Inicial

Técnicas: Explorar Aplicação Exposta Publicamente (T1190)


Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente.

Or junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.