No post de hoje, queremos informá-lo sobre várias vulnerabilidades recentemente descobertas no Artica Proxy, um sistema que permite aos usuários com habilidades técnicas básicas gerenciar um servidor proxy em modo transparente, bem como a conexão com AD e OpenLDAP, versão 4.30.
A recém relatada CVE-2020-17506 vulnerabilidade do Artica Proxy permite que hackers abusem da API do sistema e contornem remotamente a autenticação, obtendo privilégios de superadministrador.
Depois que os hackers penetram no sistema comprometido com privilégios de root e recebem o comando do back-end da web, eles podem injetar comandos em um arquivo PHP, conforme relatado como CVE-2020-17505. A injeção de shell e o acesso direto ao sistema comprometido muitas vezes equivalem a um comprometimento total da aplicação, uma vez que os invasores obtêm direitos para fazer grandes alterações no sistema.
Os usuários do SOC Prime Threat Detection Marketplace podem detectar as vulnerabilidades relatadas com regras Sigma da comunidade publicadas por Halil Ibrahim Cosgun:
Artica Web Proxy Autenticação Bypass (CVE-2020-17506)
Artica Web Proxy Comando OS Injetado Autenticado (CVE-2020-17505)
As regras têm traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Explorar Aplicação Exposta Publicamente (T1190)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente.
Or junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
