Pulse Connect Secure-Schwachstellen werden in laufenden Angriffen auf hochkarätige Ziele ausgenutzt
Inhaltsverzeichnis:
Am 20. April 2021 hat US-CERT eine Warnung über eine laufende bösartige Kampagne ausgegeben, die anfällige Pulse Connect Secure-Produkte missbraucht, um Organisationen in den USA anzugreifen. Die Kampagne brach im Juni 2020 aus und umfasste mehrere Sicherheitsvorfälle, die Regierungsbehörden, kritische Infrastruktureinrichtungen und private Organisationen betrafen. Bedrohungsakteure nutzen bekannte Schwachstellen in Pulse Connect Secure, um anfänglichen Zugriff zu erlangen und Webshells auf kompromittierten Instanzen zu platzieren. Diese Webshells werden weiter verwendet für Passwort-Logging, Umgehung von Single- und Multifaktor-Authentifizierung sowie Persistenz bei Updates.
Pulse Connect Secure-Schwachstellen unter Angriff
Laut US-CERT nutzen Bedrohungsakteure einen Satz von vier Schwachstellen aus, die Pulse Connect Secure-Produkte betreffen. Die Liste umfasst drei ältere Schwachstellen, die es Akteuren ermöglichen, beliebigen Code auszuführen (CVE-2020-8243, CVE-2020-8260) und beliebige Dateien zu lesen (CVE-2019-11510). Alle diese Sicherheitslücken wurden zuvor offengelegt und vom Anbieter in den letzten zwei Jahren vollständig gepatcht.
Außerdem nutzen Angreifer eine kürzlich entdeckte Schwachstelle (CVE-2021-22893), die laut Ivanti, dem Anbieter-Unternehmen, eine sehr begrenzte Anzahl von Kunden betrifft. Es handelt sich um einen Authentifizierungs-Bypass-Fehler, der es nicht authentifizierten Gegnern ermöglicht, beliebige Datei-Ausführungen auf dem Pulse Connect Secure-Gateway durchzuführen. Diese Schwachstelle wird als kritisch eingestuft und erhält einen CVSS-Wert von 10.0. Obwohl Ivanti bereits einen temporären Workaround veröffentlicht hat, um die möglichen negativen Auswirkungen des Sicherheitsproblems zu mindern, wird der vollständige Patch frühestens im Mai 2021 verfügbar sein.
Sicherheitsforscher von FireEye verfolgen derzeit mindestens 12 Malware-Familien, die mit Hilfe der oben genannten Schwachstellen verteilt werden. Die meisten der bösartigen Beispiele sind nicht miteinander verwandt und wurden in separaten Untersuchungen offengelegt. Daher geben Sicherheitsexperten mit hoher Zuversicht an, dass mehrere Hackergruppen in den Missbrauch von Pulse Connect Secure involviert sind. at least 12 malware families being distributed with the help of the above-mentioned flaws. Most of the nefarious samples are unrelated to each other and were disclosed in separate inquiries. Therefore, security experts state with a high level of confidence that multiple hacker groups are involved in Pulse Connect Secure abuse.
Bemerkenswerterweise wurde ein Teil der offenbarten bösartigen Aktivitäten einer von der chinesischen Regierung unterstützten APT-Gruppe zugeschrieben, die von August 2020 bis März 2021 das Defense Industrial Base und europäische Institutionen angriff. Darüber hinaus verfolgt FireEye die berüchtigte Aktivität einer anderen Advanced Persistent Threat, deren Zuschreibung derzeit unbestimmt ist. Dieser Akteur war an mehreren Angriffen beteiligt, die zwischen Oktober 2020 und März 2021 Schwachstellen von Pulse Connect Secure gegen globale Regierungsbehörden nutzten.
Erkennung und Minderung von Pulse Connect Secure-Schwachstellen
Alle Pulse Connect Secure-Nutzer werden aufgefordert zu überprüfen, ob ihre Geräte vollständig gepatcht und aktualisiert sind. Ivanti hat einen speziellen Blogbeitrag veröffentlicht, der die in Brand stehenden Schwachstellen detailliert beschreibt und die Minderungsmaßnahmen bereitstellt. Zusätzlich hat der Anbieter kürzlich das Pulse Security Integrity Checker Tool erstellt, das Kunden erlaubt, ihre Installationen zu bewerten und zu überprüfen, ob sie auf Sicherheitsprobleme stoßen.
Um die proaktive Verteidigung gegen laufende Angriffe zu verstärken, hat das SOC Prime Team in Zusammenarbeit mit unseren Threat Bounty-Entwicklern eine Reihe von Sigma-Regeln zur Erkennung von Pulse Connect Secure-Schwachstellen veröffentlicht.
Mögliche Ausnutzung der RCE-Schwachstelle von Pulse Connect Secure 2021 [CVE-2021-22893] (via Web)
Pulse Connect Secure Angriff [CVE-2019-11510]
Sie könnten auch die vollständige Liste der Erkennungen zu Pulse Connect Secure-Schwachstellen im Threat Detection Marketplace überprüfen. Alle neuen Erkennungsinhalte werden diesem Artikel hinzugefügt, bleiben Sie also auf unserem Blog dran, um keine weiteren Updates zu verpassen.
Abonnieren Sie den Threat Detection Marketplace kostenlos und erreichen Sie über 100.000 Abfragen, Parser, SOC-fertige Dashboards, YARA- und Snort-Regeln, Machine Learning-Modelle und Incident Response Playbooks die auf CVE und MITRE ATT&CK® Frameworks abgebildet sind. Möchten Sie bei der Jagd nach Bedrohungen mitmachen und Ihre eigenen Sigma-Regeln entwickeln? Treten Sie unserem Threat Bounty-Programm bei!
