Detecção de Vulnerabilidade Crítica no Aruba ClearPass (CVE-2020-7115)

[post-views]
Setembro 18, 2020 · 2 min de leitura
Detecção de Vulnerabilidade Crítica no Aruba ClearPass (CVE-2020-7115)

Aruba Networks, a subsidiária da Hewlett Packard Enterprise, lançou um Aviso de Segurança sobre múltiplas vulnerabilidades recentemente descobertas em seu produto, utilizado por clientes empresariais em todo o mundo. Neste artigo, cobriremos os detalhes da mais grave das vulnerabilidades relatadas de Execução Remota de Comandos no Aruba ClearPass (CVE-2020-7115) com CVSS 8.1, e conteúdo para detectar a falha de autenticação no gerenciador de políticas da interface web do ClearPass.

Falha Crítica de Autenticação

A grave vulnerabilidade CVE-2020-7115 foi relatada por dozer.nz. De acordo com a pesquisa, os resultados suspeitos ao analisar um potencial ataque no ClearPass possibilitaram identificar o endpoint retornando uma resposta 200 com uma mensagem informando que nenhum arquivo foi carregado. Este fato levou a uma investigação mais profunda no ClearPass, e os pesquisadores descobriram que os atacantes poderiam executar código arbitrário injetando argumentos no OpenSSL e abusando do script de verificação de certificado do cliente. Além disso, o uso de um caractere coringa tornou possível a violação mesmo sem o conhecimento dos nomes dos arquivos carregados.

Mitigação e Detecção do CVE-2020-7115

A crítica vulnerabilidade CVE-2020-7115 na WebUI do ClearPass foi relatada por pesquisadores à Aruba, e procedimentos de segurança para mitigar a vulnerabilidade RCE e várias outras são descritas no Aviso de Segurança do Produto Aruba.

Para detectar a RCE do Aruba ClearPass, Emir Erdogan, um dos participantes mais ativos no Programa de Recompensas por Ameaças, desenvolveu uma regra Sigma comunitária https://tdm.socprime.com/tdm/info/E6jmiXJqT1ql/bX59oHQBQAH5UgbBteRm/

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Acesso Inicial

Técnicas: Exploração de Aplicação com Exposição Pública (T1190)

 

Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa de Recompensas por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko
Todas as notícias