CVE-2021-22893 er klassificeret som en kritisk nul-dag i Pulse Secure VPN-enheder, og det er blevet udnyttet af nationalstat hackere i angreb mod amerikansk forsvar, finans, og regeringens mål. Angreb mod europæiske mål er også blevet observeret, ifølge en Pulse Secure-rådgivning.
CVE-2021-22893 Teknisk oversigt
Nul-dagen tillader det fjernkørsel af programkode angreb med adgang på admin-niveau til sårbare enheder. Sårbarheden vil blive behandlet i begyndelsen af maj, og indtil da, berørte parter kan bruge Pulse Connect Secure Integrity Tool for at sikre, at deres systemer er sikre. Værktøjet blev oprettet ved hjælp af Ivanti, Pulse Secures moderselskab.
Undersøgelsen forskerne udførte afslørede fire sårbarheder, som angribere forsøger at udnytte. Tre af dem blev ordnet 2019 og 2020. Heldigvis, den nye nuldag påvirker et lille antal kunder. Ikke desto mindre, spørgsmålet er kritisk, med en score 10 af 10 i henhold til CVSS-skalaen. Hvad der gør sårbarheden virkelig farlig, er, at den kan udnyttes uden brugerinteraktion.
Inden plasteret ankommer, brugere kan prøve de tilgængelige afbødninger, som involverer import af en fil kaldet “Workaround-2104.xml,”Som kan tages fra den officielle rådgivende. Filen deaktiverer Windows File Share Browser og Pulse Secure Collaboration-funktionerne på den sårbare enhed.
En anden afbødningsmulighed er at bruge blacklisting-funktionen til at deaktivere URL-baserede angreb ved at blokere disse URI'er:
^ / + dana / + møde
^ / + dana / + fb / + smb
^ / + dana-cache / + fb / + smb
^ / + dana-ws / + navngivne brugere
^ / + dana-ws / + metric
”Mandiant sporer i øjeblikket 12 malware-familier forbundet med udnyttelsen af Pulse Secure VPN-enheder. Disse familier er relateret til omgåelse af godkendelse og bagdøradgang til disse enheder, men de er ikke nødvendigvis beslægtede med hinanden og er blevet observeret i separate undersøgelser. Det er sandsynligt, at flere aktører er ansvarlige for oprettelse og implementering af disse forskellige kodefamilier,”Mandiant-forskning afsløret.
Mandiant, Ivanti, Pulse Secure, Microsoft Threat Intelligence Center, og regerings- og retshåndhævende myndigheder fortsætter med at undersøge CVE-2021-22893-truslen om at udvikle afbødninger for berørte Pulse Secure VPN-enhedsejere.
Tidligere angreb, der udnytter VPN-fejl for at få adgang til offentlige netværk
Dette er ikke det første tilfælde af trusselsaktører, der udnytter VPN og andre fejl til at bryde forskellige netværk. I oktober sidste år, rapporterede vi angreb, der kombinerer VPN- og Windows-sårbarheder der gav adgang til staten, lokal, stamme, og territoriale regeringsnetværk.
To specifikke sikkerhedsfejl blev lænket - CVE-2018-13379 og CVE-2020-1472. Den første sårbarhed er placeret i Fortinet FortiOS Secure Socker Layer (SSL) VPN. Applikationen er en lokal VPN-server, der fungerer som en sikker gateway for adgang til virksomhedsnetværk fra fjerntliggende placeringer. Det er en sti-traversal sårbarhed i FortiOS SSL VPN-webportalen, der kan gøre det muligt for uautoriserede angribere at downloade filer via specielt udformede HTTP-ressourceanmodninger.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: