CVE-2021-22937 Erkennung: Patch-Bypass-Schwachstelle in Pulse Connect Secure
Inhaltsverzeichnis:
Ivanti hat eine kritische Sicherheitslücke (CVE-2021-22937) behoben, die seine Pulse Connect Secure VPNs betrifft. Die Schwachstelle ist ein Umgehungspatch, der im Oktober letzten Jahres zur Abschwächung der CVE-2020-8260 ausgegeben wurde, ein berüchtigter Fehler, der es böswilligen Administratoren ermöglicht, willkürlichen Code mit Root-Rechten aus der Ferne auszuführen.
CVE-2021-22937 Beschreibung
Laut der eingehenden Untersuchung der NCC Group, ist CVE-2021-22937 eine Patch-Umgehung für eine Sicherheitslücke von hoher Schwere, die im Herbst 2020 behoben wurde. Das ursprüngliche Sicherheitsloch (CVE-2020-8260) resultiert aus dem unkontrollierten Gzip-Dekomprimierungsproblem innerhalb der Pulse Connect Secure-Schnittstelle. Die Fehlkonfiguration ermöglicht es Angreifern, bösartig erstellte Archive mit einem fest codierten Schlüssel zu verschlüsseln und zu entschlüsseln, solche Archive über die Admin-GUI zu importieren und willkürliche Dateischreibvorgänge durchzuführen, die zu einer Remote-Code-Ausführung (RCE) führen.
Um CVE-2020-8260-Angriffe zu verhindern, führte der Anbieter eine Validierung der extrahierten Dateien ein. Diese gilt jedoch nicht für Archive des Typs „Profiler“. Folglich ermöglicht eine geringfügige Anpassung des ursprünglichen CVE-2020-8260-Exploits das Umgehen der Schutzmaßnahmen und die Nutzung des älteren RCE-Fehlers für Angriffe in der freien Wildbahn.
Eine erfolgreiche Ausnutzung von CVE-2021-22937 ermöglicht es authentifizierten Angreifern mit Administratorrechten, das Dateisystem zu ändern, eine persistente Backdoor einzuschleusen, Anmeldedaten zu stehlen, VPN-Clients zu kompromittieren und mehr.
Obwohl es derzeit keinen direkten Proof-of-Concept (PoC) für CVE-2021-22937 gibt, liefert die Analyse der NCC Group mehrere Screenshots der Änderungen am CVE-2020-8260-PoC. Aus diesem Grund glauben Experten, dass ein Ansturm modifizierter Exploits in naher Zukunft ausbrechen wird.
CVE-2021-22937 Erkennung
Laut der Hinweis von Ivanti letzte Woche ausgegeben, betrifft CVE-2021-22937 alle Versionen von Pulse Connect Secure vor 9.1R12. Die Administratoren werden aufgefordert, so schnell wie möglich auf die neueste Version zu aktualisieren, um mögliche Ausbeutungsversuche zu blockieren.
Um Sicherheitspraktikern zu helfen, mögliche Angriffe auf die Unternehmensinfrastruktur zu erkennen, hat SOC Prime eine kostenlose Jagdregel zur Erkennung von CVE-2021-22937 veröffentlicht.
Diese Regel hilft, jegliche Manipulationen/Operationen der Backup-Konfiguration zu identifizieren, die auf mögliche Ausnutzungsversuche für CVE-2021-22937 hindeuten.
SIEM & SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix
Die Regel ist mit dem MITRE ATT&CK-Framework® verknüpft und adressiert die Taktiken des initialen Zugangs und die Technik der Ausnutzung öffentlicher Webanwendungen (T1190). Die Erkennungsinhalte sind kostenlos im Threat Detection Marketplace nach Registrierung verfügbar.
Holen Sie sich ein kostenloses Abonnement für den Threat Detection Marketplace, um Ihre Cybersicherheitsfähigkeiten zu verbessern! Unsere SOC-Inhaltsbibliothek aggregiert über 100.000 Erkennungs- und Reaktionsalgorithmen, die direkt auf CVE- und MITRE ATT&CK®-Frameworks abgebildet sind, sodass Sie berüchtigte Cyberangriffe in den frühesten Phasen des Eindringens abwehren können. Möchten Sie Ihre eigenen Erkennungen entwickeln? Treten Sie unserem Threat Bounty-Programm für eine sichere Zukunft bei!
