V Pulse Connect Secure (PCS) SSL VPN bola opravená kritická aktívne zneužívaná zero-day zraniteľnosť

V Pulse Connect Secure (PCS) SSL VPN bola objavená a opravená aktívne zneužívaná zero-day zraniteľnosť, ktorej zneužitím môže dôjsť k vzdialenému vykonaniu kódu neautentifikovaným útočníkom. Zraniteľnosť dosahuje CVSS skóre 10.

Dôsledky

  • nasadenie škodlivého softvéru na zariadenia
  • vzdialené vykonanie ľubovoľného kódu
  • obídenie autentifikácie

Opis činnosti
CVE-2021-22893

V Pulse Connect Secure (PCS) SSL VPN bola objavená zero-day zraniteľnosť CVE-2021-22893, ktorej zneužitie môže viesť k obídeniu autentifikácie, čo môže neautentifikovanému útočníkovi umožniť vzdialene vykonať ľubovoľný kód. Táto kritická zraniteľnosť je aktívne zneužívaná a dosahuje najvyššie možné CVSS skóre 10.

Vyšetrovanie ukázalo, že v súčasnosti prebiehajú snahy o zneužitie 4 zraniteľností. Tri z nich (CVE-2019-11510, CVE-2020-8243 a CVE-2020-8260) sú staršie a boli opravené v rokoch 2019 a 2020. Zraniteľnosti boli zneužité na vniknutie do siete desiatok amerických a európskych vládnych, obranných a finančných organizácií. Útočníci dokázali pozmeniť skripty s systéme zariadení Pulse Secure pre získanie perzistenicie voči aktualizáciám aj vráteniu do továrenských nastavení. Získali prihlasovacie údaje z Active Directory a možnosť obísť viacfaktorovú autentifikáciu.

Za útokmi stoja pravdepodobne štátni útočníci podporovaní Čínou. Najmenej 2 skupiny označené spoločnosťou FireEye ako UNC2630 a UNC2717 nasadili pri týchto útokoch na zraniteľné zariadenia 12 rôznych kmeňov škodlivého softvéru. Spoločnosť FireEye sa vyjadrila, že útočníci sú vysoko kvalifikovaní a majú hlboké technické znalosti o produkte spoločnosti Pulse Secure.

Spoločnosť Pulse Secure odporúča zákazníkom s bránami bežiacimi na PCS 9.0R3 aktualizovať serverový softvér na verziu 9.1R.11.4.

Zraniteľné systémy

  • PCS verzie 9.0R3 a vyššej

Závažnosť zraniteľnosti
Vysoká

Možné škody
Obídenie autentifikácie
Vzdialené vykonávanie kódu

Odporúčania

Odporúčame aktualizovať Pulse Connect Secure na verziu 9.1R.11.4. Zraniteľnosť tiež môže byť zmiernená použitím zástupných riešení spomenutých na tejto stránke.

Odkazy
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
https://www.bleepingcomputer.com/news/security/pulse-secure-vpn-zero-day-used-to-hack-defense-firms-govt-orgs/
https://thehackposts.com/news/pulse-secure-vpn-zero-day-is-used-to-hack-the-organizations-of-defense-companies-govt/
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html