CVE-2021-22893 é classificado como um dia zero crítico em dispositivos Pulse Secure VPN, e foi explorado por hackers de estado-nação em ataques contra a defesa dos EUA, finança, e metas governamentais. Ataques contra alvos europeus também foram observados, de acordo com um comunicado do Pulse Secure.
Visão geral técnica CVE-2021-22893
O dia zero permite ataques de execução remota de código com acesso de nível de administrador a dispositivos vulneráveis. A vulnerabilidade será tratada no início de maio, e até então, as partes afetadas podem usar o Ferramenta de integridade segura do Pulse Connect para se certificar de que seus sistemas são seguros. A ferramenta foi criada com a ajuda de Ivanti, Empresa-mãe da Pulse Secure.
A investigação realizada pelos pesquisadores revelou quatro vulnerabilidades que os invasores estão tentando explorar. Três deles foram fixados em 2019 e 2020. Felizmente, o novo dia zero impacta um pequeno número de clientes. Não obstante, o problema é crítico, com uma pontuação 10 do 10 de acordo com a escala CVSS. O que torna a vulnerabilidade realmente perigosa é o fato de que pode ser explorada sem a interação do usuário.
Antes que o patch chegue, os usuários podem tentar as atenuações disponíveis, que envolve a importação de um arquivo chamado “Workaround-2104.xml,”Que pode ser tirado de o consultivo oficial. O arquivo irá desativar os recursos do Windows File Share Browser e Pulse Secure Collaboration no dispositivo vulnerável.
Outra opção de mitigação é usar o recurso de lista negra para desabilitar ataques baseados em URL, bloqueando esses URIs:
^ / + dana / + reunião
^ / + dana / + fb / + smb
^ / + dana-cached / + fb / + smb
^ / + dana-ws / + namedusers
^ / + dana-ws / + métrica
“Mandiant está rastreando 12 famílias de malware associadas à exploração de dispositivos Pulse Secure VPN. Essas famílias estão relacionadas à evasão de autenticação e acesso backdoor a esses dispositivos, mas eles não estão necessariamente relacionados entre si e foram observados em investigações separadas. É provável que vários atores sejam responsáveis pela criação e implantação dessas várias famílias de código,”Pesquisa Mandiant revelou.
Mandiant, Ivanti, Pulse Secure, Centro de Inteligência de Ameaças da Microsoft, e as agências governamentais e de aplicação da lei continuam a investigar a ameaça CVE-2021-22893 para desenvolver atenuações para os proprietários de dispositivos Pulse Secure VPN afetados.
Ataques anteriores explorando falhas de VPN para obter acesso a redes governamentais
Este não é o primeiro caso de agentes de ameaças explorando VPN e outras falhas para violar várias redes. Em outubro do ano passado, nós relatamos ataques combinando vulnerabilidades VPN e Windows que forneceu acesso ao estado, local, tribal, e redes territoriais de governo.
Duas falhas de segurança específicas foram encadeadas - CVE-2018-13379 e CVE-2020-1472. A primeira vulnerabilidade está localizada no Fortinet FortiOS Secure Socker Layer (SSL) VPN. O aplicativo é um servidor VPN local que serve como um gateway seguro para acesso a redes corporativas de locais remotos. É uma vulnerabilidade de passagem de caminho no portal da web FortiOS SSL VPN que pode permitir que invasores não autenticados baixem arquivos por meio de solicitações de recursos HTTP especialmente criadas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: