RCE in Pulse Connect Secure (CVE-2020-8218)

[post-views]
August 31, 2020 · 2 min zu lesen
RCE in Pulse Connect Secure (CVE-2020-8218)

Heute möchten wir Sie vor einer kürzlich entdeckten Schwachstelle warnen, die Remote-Code-Ausführung in der Pulse Connect Secure-Anwendung Version<9.1R8 ermöglicht. Wie in der Forschung erwähnt, ermöglicht die CVE-2020-8218 einem Betrüger, beliebigen Code aus der Ferne auf der vorletzten verfügbaren Version des Pulse Connector VPNs auszuführen.

CVE-2020-8218 Schwachstelle in Pulse Connect Secure

Die CVE-2020-8218 ist eine von vier kürzlich entdeckten Schwachstellen in Pulse Secure. Es gibt bereits eine gepatchte Version der Pulse Connect-Anwendung, jedoch informieren wir die Community weiterhin über die möglichen Folgen der Nutzung einer ungepatchten Anwendung.

Obwohl eine erfolgreiche Ausnutzung der Schwachstelle Administratorrechte erfordert, ist der einfachste Weg, sich diese Rechte zu erschleichen, einen Link mit einer bösartigen URL in einer E-Mail zu versenden und den Administrator dazu zu verleiten, darauf zu klicken. VPNs sind während des Lockdowns besonders wichtig und aktuell geworden, da sie Unternehmen ermöglichen, die Unternehmenskommunikation zu verschlüsseln und Benutzer zu authentifizieren.

Pulse Secure hat viele Sicherheitsverstärkungsmaßnahmen in ihre Anwendung integriert, jedoch konnten Forscher erfolgreich die Nutzlast an die kompromittierte Maschine senden und eine Remote-Code-Ausführung erreichen. Auch wenn die Authentifizierung tatsächlich über einen per Phishing-Angriff gelieferten Link erfolgte, sollte die CVE-2020-8218-Schwachstelle nicht ignoriert werden.

CVE-2020-8218 Erkennung

Emir Erdogan, ein aktives Mitglied des SOC Prime Threat Bounty Developer-Programms, hat eine Sigma-Community-Regel erstellt, um die Remote-Code-Ausführung CVE-2020-8218 in Pulse Connect Secure zu erkennen: https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Initialer Zugriff

Techniken: Ausnutzung öffentlich zugänglicher Anwendungen (T1190)

 

Bereit, den SOC Prime Threat Detection Marktplatz auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty-Programm beitreten um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen