脉冲安全有警告客户针对其Pulse Connect Secure (PCS)设备的可利用攻击链的存在。pc为企业提供虚拟专用网(VPN)设施,企业利用它们防止未经授权的访问其网络和服务。
CyberSecurity Sleuths Mandiant报告,他们正在跟踪由组使用一组相关技术跟踪由组操作的“与脉冲安全VPN设备的开发相关联的12个恶意软件系列”,以绕过单一和多因素认证。脉冲安全和巨大发现的大多数问题都涉及2019年和2020年修补的三种漏洞。但是也有一个非常严重的新问题,它表示影响了非常有限的客户。
旧漏洞
公开披露的计算机安全漏洞列于常见的漏洞和公开(CVE)数据库中。其目标是使其更容易跨单独的漏洞功能(工具,数据库和服务)共享数据。被修补的漏洞被列为:
- cve - 2019 - 11510一个未经身份验证的远程攻击者可以发送特制的URI来执行任意文件读取漏洞。我们写道关于在2019年修补这一漏洞的明显不情愿。
- CVE-2020-8243脉冲连接安全<9.1R8.2管理员Web界面中的漏洞可能允许经过身份验证的攻击者上传自定义模板以执行任意代码执行。
- CVE-2020-8260脉冲连接安全<9.1R9管理员Web界面的漏洞可以允许经过认证的攻击者使用不受控制的GZIP提取执行任意代码执行。
这里最明显的建议是查看针对这些漏洞的Pulse建议,并遵循建议的指导,其中包括在受到影响的环境中更改所有密码。
新的漏洞
新的漏洞(CVE-2021-22893)是一个远程代码执行(RCE)漏洞,CVSS评分为10(最大),并为Critical评分。根据脉冲咨询:
[漏洞]包括一个身份验证绕过漏洞,允许未经身份验证的用户在Pulse Connect安全网关上执行远程任意文件执行。此漏洞具有关键的CVSS评分,并对您的部署造成重大风险。
它没有补丁(但预计在5月初修补),因此系统管理员现在需要减轻问题,而不是简单地修复它。请不要等待补丁。
缓解需要一个变通方案
根据脉冲安全,直到可以通过导入解决方法文件来缓解修补程序CVE-2021-22893。更多详情可以在公司找到安全咨询44784.据报道,该解决方案禁用了Pulse Collaboration功能,该功能允许用户在连接安全用户和非连接安全用户之间安排和举行在线会议。该解决方案还禁用了允许用户浏览网络文件共享的Windows文件共享浏览器。
目标
脉冲连接安全漏洞包括CVE-2021-22893已被用于针对世界各地的政府,国防和金融组织,但主要在美国。根据一些文章,威胁行为者与中国联系起来。发现已识别的威胁参与者是收获账户凭据。很可能为了在受损的组织环境中执行横向运动。它们还观察到部署修改脉冲的威胁演员连接安全文件和脚本以保持持久性。据报道,脉冲安全系统上的这些修改的脚本允许恶意软件生存软件更新和工厂重置。
威胁分析
火眼公司的Mandiant参与了这些漏洞的研究。它发布了一份对相关恶意软件的详细分析,他们将其命名为SlowPulse。根据Mandiant的说法,该恶意软件及其变体“被应用于合法的Pulse Secure文件的修改,以绕过或记录存在于合法Pulse Secure共享对象libdsplbs .so中的认证流中的凭据”。在他们的博客他们讨论了4个变种。有关各方还可以在那里找到技术细节和检测。
网络设备
国家赞助的网络攻击往往与敌人州的破坏外,常见于间谍活动。间谍活动的大部分是掌握有权访问有趣的秘密信息的登录凭据。以可用于提取登录凭证的方式分解为网络设备是本秘密冲突中的重要策略。请记住,归因总是艰难而棘手。您最终可能会达到他们希望您到达的结论。鉴于目标和方法,在这种情况下,它在州赞助威胁演员首次看起来有意义。
更新5月4日
脉冲安全团队发布了安全更新以解决概述的问题安全咨询SA44784(CVE-2021-22893)影响脉冲连接安全设备。建议客户迫切地行动应用更新以确保它们受到保护。在此注释,脉冲安全还建议客户使用脉冲安全完整性检查器工具,这是客户识别其系统上恶意活动的工具,并继续应用和遵循所有可用安全补丁的建议指导。
评论