CVE-2021-22893 se clasifica como un día cero crítico en dispositivos Pulse Secure VPN, y ha sido explotado por piratas informáticos del estado-nación en ataques contra la defensa de EE. UU., finanzas, y objetivos gubernamentales. También se han observado ataques contra objetivos europeos, de acuerdo con un aviso de Pulse Secure.
CVE-2021-22893 Descripción técnica
El día cero permite ataques de ejecución remota de código con acceso de nivel de administrador a dispositivos vulnerables. La vulnerabilidad se abordará a principios de mayo., y hasta entonces, las partes afectadas pueden utilizar el Herramienta de integridad segura Pulse Connect para asegurarse de que sus sistemas sean seguros. La herramienta fue creada con la ayuda de Ivanti, Empresa matriz de Pulse Secure.
La investigación que llevaron a cabo los investigadores reveló cuatro vulnerabilidades que los atacantes están intentando explotar.. Tres de ellos se fijaron en 2019 y 2020. Afortunadamente, el nuevo día cero impacta a un pequeño número de clientes. No obstante, el problema es crítico, con una puntuación 10 de 10 según la escala CVSS. Lo que hace que la vulnerabilidad sea realmente peligrosa es el hecho de que puede explotarse sin la interacción del usuario..
Antes de que llegue el parche, los usuarios pueden probar las mitigaciones disponibles, que implican la importación de un archivo llamado "Workaround-2104.xml,”Que se puede tomar de el asesor oficial. El archivo deshabilitará las funciones de Windows File Share Browser y Pulse Secure Collaboration en el dispositivo vulnerable.
Otra opción de mitigación es usar la función de lista negra para deshabilitar los ataques basados en URL bloqueando estos URI.:
^ / + dana / + encuentro
^ / + dana / + fb / + smb
^ / + dana-cached / + fb / + smb
^ / + dana-ws / + usuarios con nombre
^ / + dana-ws / + métrica
"Mandiant está rastreando actualmente 12 familias de malware asociadas con la explotación de dispositivos Pulse Secure VPN. Estas familias están relacionadas con la elusión de la autenticación y el acceso por puerta trasera a estos dispositivos., pero no están necesariamente relacionados entre sí y se han observado en investigaciones separadas. Es probable que múltiples actores sean responsables de la creación e implementación de estas diversas familias de códigos.,”Investigación de Mandiant revelado.
Mandiant, Ivanti, Pulse Secure, Centro de inteligencia sobre amenazas de Microsoft, y las agencias gubernamentales y policiales continúan investigando la amenaza CVE-2021-22893 para desarrollar mitigaciones para los propietarios de dispositivos VPN Pulse Secure afectados.
Ataques anteriores que explotan fallas de VPN para obtener acceso a redes gubernamentales
Este no es el primer caso de actores de amenazas que explotan VPN y otras fallas para violar varias redes.. En octubre del año pasado, informamos ataques que combinan vulnerabilidades de VPN y Windows que proporcionó acceso al estado, local, tribal, y redes de gobierno territorial.
Se encadenaron dos fallas de seguridad específicas: CVE-2018-13379 y CVE-2020-1472. La primera vulnerabilidad se encuentra en Fortinet FortiOS Secure Socker Layer (SSL) VPN. La aplicación es un servidor VPN local que sirve como puerta de enlace segura para acceder a las redes empresariales desde ubicaciones remotas.. Es una vulnerabilidad de recorrido de ruta en el portal web FortiOS SSL VPN que podría permitir a atacantes no autenticados descargar archivos a través de solicitudes de recursos HTTP especialmente diseñadas..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: