Puls Secure 0-Day

În cazul în care portalul Pulse Connect Secure face parte din rețeaua organizației dvs., ar trebui să fiți conștient de o vulnerabilitate recent descoperită de autentificare critică de zi zero (CVE-2021-22893), care este în prezent exploatată. În sălbăticie și pentru care nu există patch încă.

Cel puțin doi actori de amenințare s-au aflat în spatele unei serii de intruziuni care vizează organizațiile de apărare, guvernamentale și financiare din Statele Unite și din alte părți, prin exacerbarea vulnerabilităților critice ale dispozitivelor VPN Pulse Secure pentru a scăpa de protecții.autentificarea cu mai mulți factori și încălcarea rețelelor de întreprinderi

„O combinație de vulnerabilități anterioare și o vulnerabilitate necunoscută anterior descoperită în aprilie 2021, CVE-2021-22893, sunt responsabile pentru vectorul infecției inițiale”, a declarat marți firma de securitate cibernetică FireEye, identificând 12 familii de malware asociate cu exploatarea Pulse Dispozitive VPN sigure.

Compania a identificat 12 familii de malware asociate cu exploatarea unui dispozitiv VPN Pulse Secure.

auditor de parole

Compania desfășoară, de asemenea, o activitate în cadrul a două clustere de amenințări UNC2630 și UNC2717 („UNC” pentru necategorizate) – primul legat de o încălcare a rețelelor de bază ale apărării industriale din SUA (DIB), în timp ce acesta din urmă a fost găsit vizat de o organizație europeană în martie 2021 – ancheta atribuind UNC2630 agenților care lucrează în numele guvernului chinez, în plus față de sugerarea posibilelor legături cu un alt actor de spionaj APT5 bazat pe „asemănări puternice cu intruziunile istorice datând din 2014 și 2015”.

Pulse Secure Zero-Day Flaw

Se consideră că atacurile efectuate de UNC2630 au început încă din august 2020, înainte de a se extinde în octombrie 2020, când UNC2717 a început să remită aceleași defecte pentru a instala malware în mod special pe rețelele agențiilor guvernamentale din Europa și Statele Unite. , conform FireEye.

Lista familiilor de programe malware este următoarea –

  • UNC2630 – SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE și PULSECHECK
  • UNC2717 – HARDPULSE, QUIETPULSE ȘI PULSEJUMP

Două tulpini suplimentare de malware, STEADYPULSE și LOCKPICK, desfășurate în timpul intruziunilor nu au fost legate de un anumit grup, citând o lipsă de dovezi.

Prin exploatarea mai multor vulnerabilități ale Pulse Secure VPN (CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 și CVE-2021-22893), se spune că UNC2630 a recoltat acreditările de conectare, le folosește pentru a se deplasa lateral în site. mediile afectate. Pentru a menține persistența pentru rețelele compromise, playerul a folosit piese și scripturi legitime, dar modificate, Pulse Secure pentru a permite executarea arbitrară a comenzilor și a injecta shell-uri web capabile să efectueze operații de fișiere și să ruleze coduri rău intenționate.

auditor de parole

Ivanti, compania din spatele VPN-ului Pulse Secure, a emis atenuări temporare pentru a aborda vulnerabilitatea arbitrară a executării fișierelor (CVE-2021-22893, scor CVSS: 10), în timp ce se așteaptă ca o soluție la această problemă să fie în vigoare până la început din mai. Compania din Utah a recunoscut că noul defect a avut un impact asupra „unui număr foarte limitat de clienți”, adăugând că a lansat un instrument de integritate sigură Pulse Connect pentru clienți, pentru a verifica semnele compromisului.

Clienților Pulse Secure li se recomandă să treacă la versiunea 9.1R.11.4 a serverului PCS atunci când devine disponibilă.

Știrile privind compromisurile care afectează agențiile guvernamentale, entitățile de infrastructură critică și alte organizații din sectorul privat vin la o săptămână după ce guvernul SUA a emis consiliere, avertizând companiile cu privire la exploatarea activă a cinci vulnerabilități cunoscute public de către Serviciul rus de informații externe (SVR), inclusiv CVE-2019 -11510, pentru a obține surse inițiale de dispozitive și rețele ale victimelor.

Ti s-a parut interesant acest articol? Urmăriți THN pe Facebook, Stare de nervozitate și LinkedIn pentru a citi mai multe conținuturi exclusive pe care le-am creat.