Error crítico de seguridad de día cero Pulse Secure bajo exploit activo - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Error crítico de seguridad de día cero Pulse Secure bajo exploit activo

Hola otra vez. Te escribe Eduardo Arroyo y esta vez vamos a hablar sobre Error crítico de seguridad de día cero Pulse Secure bajo exploit activo

Error crítico de seguridad de día cero Pulse Secure bajo exploit activo

CVE-2021-22893 permite la ejecución remota de código (RCE) y es utilizado en la naturaleza por los ciberataques de los estados nacionales para comprometer los equipos VPN en las organizaciones de defensa, finanzas y gobierno.

Los actores estatales nacionales han aprovechado una vulnerabilidad crítica de seguridad de día cero en los dispositivos Pulse Secure VPN para lanzar ataques cibernéticos contra objetivos gubernamentales, financieros y de defensa de EE. UU., Así como contra víctimas en Europa, dijeron los investigadores.

Descargue «La evolución del ransomware» para obtener información valiosa sobre las tendencias emergentes en medio de volúmenes de ataques en rápido crecimiento. ¡Haz clic arriba para perfeccionar tu inteligencia defensiva!

La falla, rastreada como CVE-2021-22893, permite la ejecución remota de código (RCE) y se usa en la naturaleza para obtener acceso de nivel de administrador a los dispositivos, según la investigación de Ivanti. Pulse Secure dijo que el día cero se parcheará a principios de mayo; pero mientras tanto, la empresa se ha asociado con Ivanti (su empresa matriz) para liberar tanto las mitigaciones como las Herramienta de integridad segura Pulse Connect, para ayudar a determinar si los sistemas se vieron afectados.

«La encuesta muestra intentos continuos de explotar cuatro problemas; la mayoría de estos problemas involucran tres vulnerabilidades que se solucionaron en 2019 y 2020: Aviso de seguridad SA44101 (CVE-2019-11510), Aviso de seguridad SA44588 (CVE-2020-8243) y Aviso de seguridad SA44601 (CVE-2020-8260) «, según una declaración de Pulse Secure proporcionada a Threatpost.» El nuevo problema, descubierto este mes, ha afectado a un número muy limitado de clientes «.

El agujero de seguridad crítico descubierto recientemente tiene una calificación de 10 sobre 10 en la escala de calificación de vulnerabilidad CVSS. Se trata de una vulnerabilidad de omisión de autenticación que podría permitir que un usuario no autenticado ejecute RCE en la puerta de enlace segura Pulse Connect. Según el aviso, «representa un riesgo significativo para su implementación». lanzado el martes.

«La crisis actual de COVID-19 ha dado lugar a un cambio de la noche a la mañana hacia la cultura del trabajo remoto, y las VPN han desempeñado un papel vital para hacer esto posible», Bharat Jogi, gerente senior de investigación sobre vulnerabilidades y amenazas en Qualys. «Las VPN se han convertido en un objetivo principal para los ciberdelincuentes y en los últimos meses».

«La vulnerabilidad segura de Pulse Connect con CVE-2021-22893 … puede explotarse sin la interacción del usuario», agregó.

Las mitigaciones implican la importación de un archivo llamado «Workaround-2104.xml», disponible en la página de advertencia. Deshabilite el navegador para compartir archivos de Windows y las funciones de colaboración segura Pulse en el dispositivo.

El usuario también puede usar la función de lista negra para deshabilitar los ataques basados ​​en URL, señaló la compañía, bloqueando los siguientes URI:

  • ^ / + dana / + encuentro
  • ^ / + dana / + fb / + smb
  • ^ / + dana-cache / + fb / + smb
  • ^ / + dana-ws / + usuarios con nombre
  • ^ / + dana-ws / + métrica

«El equipo de Pulse Connect Secure (PCS) está en contacto con un número limitado de clientes que han encontrado evidencia de comportamiento de explotación en sus dispositivos PCS», según Pulse Secure. «El equipo de PCS proporcionó instrucciones de reparación directamente a estos clientes».

Según una investigación en tándem de Mandiant, este y los otros errores están en el centro de una oleada de actividad de diferentes actores de amenazas, que involucra un total de 12 familias de malware diferentes. El malware se utiliza para eludir la autenticación y establecer un acceso de puerta trasera a los dispositivos VPN y para el movimiento lateral. Dos grupos específicos de amenazas persistentes avanzadas (APT), UNC2630 y UNC2717, están particularmente involucrados, dijeron los investigadores.

«Observamos que UNC2630 recopila credenciales de varios flujos de inicio de sesión de Pulse Secure VPN, lo que finalmente permitió al actor usar credenciales de cuenta legítimas para moverse de lado en los entornos afectados», según Mandiant, en un Entrada el martes. «Para mantener la persistencia en las redes comprometidas, el actor utilizó scripts y binarios Pulse Secure legítimos, pero modificados, en el dispositivo VPN».

La compañía rastrea estas herramientas de la siguiente manera:

  • Objetos compartidos sujetos a troyanos de código malicioso para registrar credenciales y eludir los flujos de autenticación dentro del objeto compartido legítimo libdsplibs.so de Pulse Secure, incluidos los requisitos de autenticación multifactor.
  • Web shell inyectado en páginas web administrativas legítimas del dispositivo Pulse Secure VPN accesibles desde Internet.
  • Una utilidad que se utiliza para borrar los archivos de registro relevantes.
  • Cambiar el sistema de archivos entre los modos de solo lectura y lectura-escritura para permitir la edición de archivos en un sistema de archivos típicamente de solo lectura; la capacidad de mantener la persistencia a través de actualizaciones generales del dispositivo VPN realizadas por el administrador; y la capacidad de parchear archivos modificados y eliminar utilidades y scripts después de su uso para evitar la detección.

La UNC2630 apuntó a compañías de defensa estadounidenses ya en agosto pasado, señaló Mandiant. Agregó que la actividad podría ser patrocinada por el estado, posiblemente respaldada por China.

«Sospechamos que UNC2630 está operando en nombre del gobierno chino y puede tener vínculos con APT5», según el análisis. “La combinación de infraestructura, herramientas y comportamiento de redes de UNC2630 parece ser única y no los hemos visto en ninguna otra campaña o participación. A pesar de estas nuevas herramientas e infraestructuras, los analistas de Mandiant han notado fuertes similitudes con intrusiones históricas que se remontan a 2014 y 2015 y fueron realizadas por el actor espía chino APT5 «.

APT5 apunta constantemente a empresas de defensa y tecnología en Asia, Europa y Estados Unidos, señaló Mandiant.

«[It] ha mostrado un interés significativo en comprometer los dispositivos de red y manipular el software subyacente que soporta estos dispositivos «, dijeron los investigadores de Mandiant.» APT5 apunta constantemente a redes empresariales de alto valor y, a menudo, vuelve a comprometer las redes durante muchos años. Sus objetivos principales parecen ser la industria aeroespacial y empresas de defensa con sede en los Estados Unidos, Europa y Asia. Los objetivos secundarios (utilizados para facilitar el acceso a sus objetivos principales) incluyen los fabricantes de equipos de red y las empresas. de software que normalmente se encuentran en los Estados Unidos «

En cuanto a UNC2717, Mandiant vinculó el negocio de día cero de Pulse Secure con APT en un incidente separado en marzo, dirigido contra una organización europea anónima. La UNC2717 también se vio dirigida a agencias gubernamentales globales entre octubre y marzo.

Hasta ahora, no hay suficiente evidencia en UNC2717 para determinar el patrocinio del gobierno o la presunta afiliación con un grupo APT conocido, dijo Mandiant.

Las herramientas utilizadas por este grupo incluyen HardPulse, que es un shell web; PulseJump, utilizado para recopilar credenciales; y RadialPulse. La compañía también observó un nuevo malware llamado LockPick, un archivo de biblioteca OpenSSL con troyanos que parece debilitar el cifrado de las comunicaciones utilizadas por los dispositivos VPN.

Según Mandiant, todas las familias de malware utilizadas en el campo parecen estar vagamente relacionadas.

“Aunque no hemos observado PulseJump o HardPulse utilizados por la UNC2630 contra Estados Unidos [defense] empresas, estas familias de malware tienen características compartidas y tienen propósitos similares a otras familias de códigos utilizadas por UNC2630 «, dijeron los investigadores.

Agregaron: «Mandiant no puede asociar todas las familias de códigos descritas en este informe con UNC2630 o UNC2717. También notamos la posibilidad de que uno o más grupos relacionados sean responsables del desarrollo y diseminación de estas diferentes herramientas entre actores de APT débilmente conectados».

Pulse Secure VPN sigue siendo un objetivo importante para los actores estatales nacionales. La semana pasada, el FBI advirtió que un conocido error de lectura de archivo arbitrario Pulse Secure (CVE-2019-11510) era parte de cinco vulnerabilidades bajo ataque del grupo relacionado con Rusia conocido como APT29 (también conocido como Cozy Bear o The Dukes). APT29 está llevando a cabo un «escaneo y explotación generalizados contra sistemas vulnerables en un intento de obtener credenciales de autenticación para permitir un mayor acceso», según los federales.

Mientras tanto, a principios de abril, el Departamento de Seguridad Nacional (DHS) instó a las empresas que utilizan Pulse Secure VPN a cambiar sus contraseñas para las cuentas de Active Directory, porque en muchos casos, los atacantes ya han explotado CVE-2019-11510 para recuperar las credenciales de las víctimas, y ahora están usando esas credenciales para moverse de lado a lado de las organizaciones, advirtió el DHS.

Y el otoño pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) afirmó que una agencia federal sufrió un ciberataque relacionado con el espionaje que resultó en un malware de puerta trasera y varias etapas que cayó en su red. Una vez más, estaba en juego CVE-2019-11510, que se utiliza para obtener acceso a las credenciales de inicio de sesión legítimas de Microsoft Office 365 de los empleados e iniciar sesión en una computadora de la agencia de forma remota.

«Casi invariablemente, el hilo común de cualquier APT es la explotación de vulnerabilidades conocidas tanto antiguas como nuevas», dijo Yaniv Bar-Dayan, director ejecutivo y cofundador de Vulcan Cyber, en un correo electrónico. «Las actividades maliciosas, ya sea que se utilice un proveedor de la cadena de suministro o un desvío de autenticación de VPN, se ven obstaculizadas por las buenas prácticas de higiene cibernética y un equipo azul serio. La gestión de vulnerabilidades o, lo que es más importante, la reparación de vulnerabilidades, es un trabajo sucio de ciberseguridad que no cuenta con recursos suficientes y está subestimado y las empresas están pagando el precio «.

.

No te olvides compartir en tu Facebook para que tus colegas lo sepan

??? ? ? ???

Comparte