Ivanti behebt kritische Pulse Connect Secure Schwachstellen unter aktiver Ausnutzung
Inhaltsverzeichnis:
Am 3. Mai 2021 hat Ivanti ein Sicherheitsupdate herausgegeben, das sehr kritische Sicherheitslücken in ihrem Pulse Connect Secure SSL VPN-Gerät adressiert. Diese Schwachstellen wurden Berichten zufolge von APT-Akteuren genutzt, um Regierungsbehörden, kritische Infrastrukturobjekte und private Unternehmen in den USA ins Visier zu nehmen.
Schwachstellen in Pulse Connect Secure
Laut der CISA-Sicherheitswarnung vom 20. April 2021 haben mehrere staatlich gesponserte Hackergruppen Pulse Connect Secure-Schwachstellen in gezielten Cyberangriffen seit Juni 2020 ausgenutzt. Akteure nutzten eine kürzlich bekannt gewordene kritische Authentifizierungsumgehungsschwachstelle (CVE-2021-22893), um beliebigen Code auf dem Pulse Connect Secure Gateway auszuführen. Dieser Fehler wurde mit älteren Problemen (CVE-2020-8243, CVE-2020-8260, CVE-2019-11510) verkettet, um initialen Zugriff zu erlangen und Webshells auf kompromittierten Netzwerken zu platzieren.
Zusätzlich hat Ivanti im Mai 2021 drei weitere Schwachstellen bekannt gegeben, die die Pulse Connect Secure-Produkte betreffen. Der erste Fehler ist ein kritisches Buffer Overflow Problem (CVE-2021-22894) , das es einem entfernten authentifizierten Akteur ermöglicht, beliebigen Code mit den höchsten Privilegien auszuführen. Die zweite Schwachstelle ist ein kritisches Befehlsinjektionssicherheitsloch (CVE-2021-22899) , das die Ausführung von Remote-Code über Windows File Resource Profiles ermöglicht. Schließlich ist der dritte Fehler ein Problem mit mehrfachen unbeschränkten Uploads (CVE-2021-22900) , das authentifizierten Administratoren die Möglichkeit gibt, über einen bösartigen Archiv-Upload einen Dateischreibvorgang durchzuführen.
Erkennung und Minderung
Die Versionen 9.0RX und 9.1RX von Pulse Connect Secure wurden als anfällig befunden, daher wird den Benutzern dringend geraten, auf die Version 9.1R.11.4 so schnell wie möglich zu aktualisieren. Das Update behebt alle Schwachstellen, einschließlich der berüchtigten CVE-2021-22893, die aktiv von chinesischen APT-Akteuren genutzt wurde, um Verteidigungsbehörden in den USA zu attackieren. Außerdem werden die Nutzer aufgefordert, die in der neuesten Empfehlung von Ivanti beschriebenen Minderungsschritte anzuwenden, um ihren Schutz vor möglichen Eindringversuchen sicherzustellen.
Um die proaktive Erkennung laufender Cyberangriffe zu verbessern, können Benutzer auch eine Reihe kostenloser Sigma-Regeln herunterladen, die vom SOC Prime Team in Zusammenarbeit mit unseren aktiven Threat Bounty Entwicklern veröffentlicht wurden. Alle Inhalte sind direkt mit dem MITRE ATT&CK®-Framework verbunden und enthalten die entsprechenden Referenzen und Beschreibungen:
CVE-2021-22893 Mögliche Pulse Connect Secure RCE-Schwachstellen-Attacke (über Webprotokoll)
Mögliche Pulse Connect Secure RCE-Schwachstellenausnutzung 2021 [CVE-2021-22893] (über Web)
Pulse Secure Attacke CVE-2019-11510
Abonnieren Sie den Threat Detection Marketplace, eine weltweit führende Detection as Code-Plattform, die über 100.000 Abfragen, Parser, SOC-fertige Dashboards, YARA- und Snort-Regeln, maschinelle Lernmodelle und Incident Response Playbooks aggregiert, die mit CVE- und MITRE ATT&CK-Frameworks verknüpft sind. Unser Inhaltsbestand wird jeden Tag mit vereinten Kräften von über 300 erfahrenen Sicherheitsexperten aus der ganzen Welt angereichert. Interessiert an SOC Primes Threat Hunting-Initiativen und möchten Sie Ihre Cybersicherheitsfähigkeiten monetarisieren? Treten Sie unserem Threat Bounty-Programm bei!
