La CVE-2021-22893 est classée comme un zero-day critique dans les appareils VPN Pulse Secure, et il a été exploité par des pirates des États-nations lors d'attaques contre la défense américaine, finance, et objectifs gouvernementaux. Des attaques contre des cibles européennes ont également été observées, selon un avis Pulse Secure.
CVE-2021-22893 Présentation technique
Le jour zéro permet attaques de code à distance d'exécution avec un accès de niveau administrateur aux appareils vulnérables. La vulnérabilité sera corrigée début mai, et jusque-là, les parties concernées peuvent utiliser le Outil d'intégrité sécurisée Pulse Connect pour s'assurer que leurs systèmes sont sûrs. L'outil a été créé avec l'aide d'Ivanti, Société mère de Pulse Secure.
L'enquête menée par les chercheurs a révélé quatre vulnérabilités que les attaquants tentent d'exploiter. Trois d'entre eux ont été fixés dans 2019 et 2020. Heureusement, le nouveau zero-day affecte un petit nombre de clients. Cependant, le problème est critique, avec un score 10 de 10 selon l'échelle CVSS. Ce qui rend la vulnérabilité vraiment dangereuse, c'est le fait qu'elle peut être exploitée sans interaction de l'utilisateur.
Avant l'arrivée du patch, les utilisateurs peuvent essayer les atténuations disponibles, qui impliquent l'importation d'un fichier appelé «Workaround-2104.xml,"Qui peut être extrait de l'avis officiel. Le fichier désactivera le navigateur de partage de fichiers Windows et les fonctionnalités Pulse Secure Collaboration sur l'appareil vulnérable..
Une autre option d'atténuation consiste à utiliser la fonction de liste noire pour désactiver les attaques basées sur les URL en bloquant ces URI.:
^ / + dana / + réunion
^ / + dana / + fb / + smb
^ / + dana-mis en cache / + fb / + smb
^ / + dana-ws / + namedusers
^ / + dana-ws / + métrique
«Mandiant suit actuellement 12 familles de malwares associées à l'exploitation des appareils VPN Pulse Secure. Ces familles sont liées au contournement de l'authentification et de l'accès par porte dérobée à ces appareils, mais ils ne sont pas nécessairement liés les uns aux autres et ont été observés dans des enquêtes distinctes. Il est probable que plusieurs acteurs soient responsables de la création et du déploiement de ces différentes familles de codes,»Recherche Mandiant révélé.
Mandiant, Ivanti, Pulse Secure, Centre Microsoft Threat Intelligence, et le gouvernement et les forces de l'ordre continuent d'enquêter sur la menace CVE-2021-22893 afin de développer des mesures d'atténuation pour les propriétaires d'appareils VPN Pulse Secure concernés..
Attaques précédentes exploitant les failles du VPN pour accéder aux réseaux gouvernementaux
Ce n'est pas le premier cas d'acteurs menaçants exploitant le VPN et d'autres failles pour violer divers réseaux. En Octobre l'année dernière, nous rapportions attaques combinant des vulnérabilités VPN et Windows qui a fourni l'accès à l'état, local, tribal, et réseaux gouvernementaux territoriaux.
Deux failles de sécurité spécifiques ont été enchaînées - CVE-2018-13379 et CVE-2020-1472. La première vulnérabilité se situe dans le Fortinet FortiOS Secure Socker Layer (SSL) VPN. L'application est un serveur VPN sur site qui sert de passerelle sécurisée pour l'accès aux réseaux d'entreprise à partir d'emplacements distants. Il s'agit d'une vulnérabilité de traversée de chemin dans le portail Web VPN SSL FortiOS qui pourrait permettre à des attaquants non authentifiés de télécharger des fichiers via des demandes de ressources HTTP spécialement conçues..