CVE-2021-22893 è classificato come zero-day critico nei dispositivi Pulse Secure VPN, ed è stato sfruttato da hacker di stati-nazione in attacchi contro la difesa statunitense, finanza, e obiettivi del governo. Sono stati osservati anche attacchi contro obiettivi europei, secondo un avviso di Pulse Secure.
CVE-2021-22893 Panoramica tecnica
Lo zero-day lo permette attacchi esecuzione di codice remoto con accesso a livello di amministratore ai dispositivi vulnerabili. La vulnerabilità verrà risolta all'inizio di maggio, e fino ad allora, le parti interessate possono utilizzare il file Pulse Connect Secure Integrity Tool per assicurarsi che i loro sistemi siano sicuri. Lo strumento è stato creato con l'aiuto di Ivanti, La società madre di Pulse Secure.
L'indagine svolta dai ricercatori ha rivelato quattro vulnerabilità che gli aggressori stanno tentando di sfruttare. Tre di loro sono stati sistemati 2019 e 2020. Per fortuna, il nuovo zero-day ha un impatto su un piccolo numero di clienti. Ciò nonostante, il problema è critico, con un punteggio 10 di 10 secondo la scala CVSS. Ciò che rende la vulnerabilità davvero pericolosa è il fatto che può essere sfruttata senza l'interazione dell'utente.
Prima che arrivi la patch, gli utenti possono provare le mitigazioni disponibili, che comporta l'importazione di un file chiamato “Workaround-2104.xml,"Che può essere preso da l'advisory ufficiale. Il file disabiliterà il browser di condivisione file di Windows e le funzionalità di collaborazione sicura Pulse sul dispositivo vulnerabile.
Un'altra opzione di mitigazione è l'utilizzo della funzione di blacklist per disabilitare gli attacchi basati su URL bloccando questi URI:
^ / + dana / + incontro
^ / + dana / + fb / + smb
^ / + dana-cache / + fb / + smb
^ / + dana-ws / + namedusers
^ / + dana-ws / + metric
"Mandiant sta attualmente monitorando 12 famiglie di malware associate allo sfruttamento dei dispositivi Pulse Secure VPN. Queste famiglie sono correlate all'elusione dell'autenticazione e dell'accesso backdoor a questi dispositivi, ma non sono necessariamente collegati tra loro e sono stati osservati in indagini separate. È probabile che più attori siano responsabili della creazione e della distribuzione di queste varie famiglie di codice,"Mandiant research rivelato.
Mandante, Ivanti, Pulse Secure, Microsoft Threat Intelligence Center, e il governo e le forze dell'ordine continuano a indagare sulla minaccia CVE-2021-22893 per sviluppare misure di mitigazione per i proprietari di appliance Pulse Secure VPN interessati.
Precedenti attacchi che sfruttano i difetti della VPN per ottenere l'accesso alle reti governative
Questo non è il primo caso di autori di minacce che sfruttano VPN e altri difetti per violare varie reti. Nel mese di ottobre dello scorso anno, abbiamo segnalato attacchi che combinano vulnerabilità VPN e Windows che ha fornito l'accesso allo stato, Locale, tribale, e reti di governo territoriale.
Sono state concatenate due specifiche falle di sicurezza: CVE-2018-13379 e CVE-2020-1472. La prima vulnerabilità si trova in Fortinet FortiOS Secure Socker Layer (SSL) VPN. L'applicazione è un server VPN in sede che funge da gateway sicuro per l'accesso alle reti aziendali da postazioni remote. Si tratta di una vulnerabilità di attraversamento del percorso nel portale Web FortiOS SSL VPN che potrebbe consentire ad attaccanti non autenticati di scaricare file tramite richieste di risorse HTTP appositamente predisposte.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: