L’APT chinois exploite le CVE critique dans Pulse Secure VPN

Les utilisateurs de Pulse Secure VPN sont invités à patcher un contournement d’authentification nouvellement divulgué zero-day qui permet à un utilisateur non authentique d’effectuer l’exécution arbitraire à distance des fichiers sur la passerelle Pulse Secure Connect – et est déjà exploité.

CVE-2021-22893 porte une cote CVSS critique de 10, mais peut être atténuée pour le moment en téléchargeant une solution de contournement à partir de Pulse Secure. Un patch complet ne sera disponible qu’au moins début mai.

Phil Richard, chief security officer chez Ivanti, qui a acquis Pulse Secure en 2020, a déclaré : « The Pulse Connect Secure [PCS] est en contact avec un nombre limité de clients qui ont éprouvé des preuves de comportement d’exploitation sur leurs appareils PCS. L’équipe pcs a fourni des conseils d’assainissement à ces clients directement.

« Le nouveau numéro, découvert ce mois-ci, a eu un impact très limité sur un nombre très limité de clients. L’équipe a travaillé rapidement pour fournir des mesures d’atténuation directement au nombre limité de clients touchés qui assainir le risque pour leur système.

Richard a également décrit les tentatives continues d’exploiter des appareils qui, faute d’attention de l’utilisateur final, demeurent vulnérables à trois autres problèmes : CVE-2019-11510, CVE-2020-8243 et CVE-2020-8260, qui ont tous été corrigés et corrigés au cours des deux dernières années. Les utilisateurs sont encouragés à examiner les avis antérieurs de l’entreprise et à suivre les directives, y compris la modification de tous les mots de passe dans l’environnement, s’ils sont touchés.

« Les clients sont également encouragés à appliquer et à tirer parti de l’outil de contrôle d’intégrité pulse secure efficace et facile à utiliser pour identifier toute activité inhabituelle sur leur système. Pour plus d’informations, visitez le blog Pulse Secure », a déclaré Richard.

Mandiant de FireEye a déclaré qu’il avait déjà répondu à des incidents chez des clients dont les appareils VPN ont été compromis, et a travaillé en étroite collaboration avec Pulse Secure sur la divulgation.

Charles Carmakal, vice-président principal et directeur technique chez Mandiant, a déclaré : «Au cours de nos enquêtes, nous avons appris qu’une vulnérabilité de jour zéro et d’autres vulnérabilités connues dans la solution VPN ont été exploitées pour faciliter les intrusions dans des dizaines d’organisations, y compris des organismes gouvernementaux, des entités financières et des sociétés de défense aux États-Unis et à l’étranger. Nous soupçonnons ces intrusions de s’aligner sur les objectifs de collecte de données et de renseignements de la Chine.

Carmakal a déclaré que le groupe avancé de menace persistante (APT) impliqué – surnommé UNC2360 – était hautement qualifié et avait une connaissance technique approfondie du produit pulse secure. Le groupe a développé de nouveaux logiciels malveillants qui lui permettent de contourner l’authentification multifactorielle sur les appareils affectés pour accéder aux réseaux cibles et modifier les scripts sur le système Pulse Secure pour permettre au malware d’échapper aux mises à jour logicielles ou aux réinitialisations difficiles. Cela a permis au groupe de maintenir la persistance au sein de leurs victimes, probablement depuis un certain temps.

« Leurs principaux objectifs sont le maintien de l’accès à long terme aux réseaux, la collecte d’informations d’identification et le vol de données exclusives », a-t-il ajouté.

Carmakal a souligné que il n’y avait aucune preuve d’un compromis de la chaîne d’approvisionnement du réseau ou du logiciel d’Ivanti.

Plus d’informations sur la vulnérabilité, ainsi que les détails du nouveau malware découvert, Slowpulse, est disponible auprès de Mandiant.