CVE-2021-22893 wird in Pulse Secure VPN-Geräten als kritischer Zero-Day klassifiziert, und es wurde von nationalstaatlichen Hackern bei Angriffen gegen die US-Verteidigung ausgenutzt, Finanz, und Regierungsziele. Angriffe gegen europäische Ziele wurden ebenfalls beobachtet, gemäß einem Pulse Secure-Hinweis.
CVE-2021-22893 Technischer Überblick
Der Zero-Day erlaubt Remotecodeausführung Angriffe mit Administratorzugriff auf anfällige Geräte. Die Sicherheitsanfälligkeit wird Anfang Mai behoben, und bis dahin, Betroffene können die nutzen Pulse Connect Secure Integrity Tool um sicherzustellen, dass ihre Systeme sicher sind. Das Tool wurde mit Hilfe von Ivanti erstellt, Muttergesellschaft von Pulse Secure.
Die von den Forschern durchgeführte Untersuchung ergab vier Sicherheitslücken, die Angreifer auszunutzen versuchen. Drei von ihnen wurden in fixiert 2019 und 2020. Zum Glück, Der neue Zero-Day wirkt sich auf eine kleine Anzahl von Kunden aus. Dennoch, Das Problem ist kritisch, mit einer Punktzahl 10 von 10 gemäß der CVSS-Skala. Was die Sicherheitsanfälligkeit wirklich gefährlich macht, ist die Tatsache, dass sie ohne Benutzerinteraktion ausgenutzt werden kann.
Bevor der Patch eintrifft, Benutzer können die verfügbaren Abhilfemaßnahmen ausprobieren, Dazu gehört das Importieren einer Datei mit dem Namen „Workaround-2104.xml,”, Aus dem entnommen werden kann die offiziellen Beratungs. Die Datei deaktiviert die Funktionen des Windows-Dateifreigabebrowsers und von Pulse Secure Collaboration auf dem anfälligen Gerät.
Eine weitere Option zur Schadensbegrenzung ist die Verwendung der Blacklisting-Funktion zum Deaktivieren von URL-basierten Angriffen durch Blockieren dieser URIs:
^ / + dana / + treffen
^ / + dana / + fb / + smb
^ / + dana-cached / + fb / + smb
^ / + dana-ws / + namedusers
^ / + dana-ws / + metrik
„Mandiant verfolgt derzeit 12 Malware-Familien, die mit der Ausnutzung von Pulse Secure VPN-Geräten verbunden sind. Diese Familien stehen im Zusammenhang mit der Umgehung der Authentifizierung und des Backdoor-Zugriffs auf diese Geräte, Sie sind jedoch nicht unbedingt miteinander verwandt und wurden in getrennten Untersuchungen beobachtet. Es ist wahrscheinlich, dass mehrere Akteure für die Erstellung und Bereitstellung dieser verschiedenen Codefamilien verantwortlich sind,Mandiant Forschung aufgedeckt.
Mandiant, Ivanti, Puls sicher, Microsoft Threat Intelligence Center, Regierungs- und Strafverfolgungsbehörden untersuchen weiterhin die Bedrohung durch CVE-2021-22893, um Abhilfemaßnahmen für betroffene Besitzer von Pulse Secure VPN-Appliances zu entwickeln.
Frühere Angriffe, bei denen VPN-Fehler ausgenutzt wurden, um Zugriff auf Regierungsnetzwerke zu erhalten
Dies ist nicht der erste Fall, in dem Bedrohungsakteure VPN und andere Fehler ausnutzen, um verschiedene Netzwerke zu durchbrechen. Im Oktober letzten Jahres, wir haben berichtet Angriffe, die VPN- und Windows-Schwachstellen kombinieren das ermöglichte den Zugang zum Staat, lokal, Stammes, und territoriale Regierungsnetzwerke.
Zwei spezifische Sicherheitslücken wurden verkettet - CVE-2018-13379 und CVE-2020-1472. Die erste Sicherheitsanfälligkeit befindet sich in der Fortinet FortiOS Secure Socker-Schicht (SSL) VPN. Die Anwendung ist ein lokaler VPN-Server, der als sicheres Gateway für den Zugriff auf Unternehmensnetzwerke von Remotestandorten aus dient. Es handelt sich um eine Sicherheitsanfälligkeit im FortiOS SSL VPN-Webportal, die es nicht authentifizierten Angreifern ermöglichen kann, Dateien über speziell gestaltete HTTP-Ressourcenanforderungen herunterzuladen.