Seguir 
Ivanti ha abordado un agujero de seguridad crítico (CVE-2021-22937) que afecta a sus VPN Pulse Connect Secure. La falla es una omisión del parche emitido en octubre del año pasado para mitigar el CVE-2020-8260, un notorio error que permite a administradores malintencionados ejecutar código arbitrario de forma remota con privilegios de root.
Descripción de CVE-2021-22937
De acuerdo con la investigación en profundidad por NCC Group, CVE-2021-22937 es una omisión del parche para una falla de alta gravedad abordada en otoño de 2020. El agujero de seguridad inicial (CVE-2020-8260) se origina por el problema de extracción de gzip no controlado presente en la interfaz de Pulse Connect Secure. La mala configuración permite a los adversarios encriptar y desencriptar archivos maliciosamente creados con una clave codificada, importar tales archivos a través de la GUI de administración y realizar sobrescritura de archivos arbitrarios que resulta en ejecución remota de código (RCE).
Para prevenir ataques de CVE-2020-8260, el proveedor introdujo validación para los archivos extraídos. Sin embargo, no es aplicable para archivos de tipo “profiler”. En consecuencia, una ligera modificación del exploit original CVE-2020-8260 permite superar las protecciones y aprovechar el antiguo error de RCE para ataques en el entorno.
La explotación exitosa de CVE-2021-22937 permite a los adversarios autenticados con derechos de administrador modificar el sistema de archivos, introducir una puerta trasera persistente, robar detalles de inicio de sesión, comprometer clientes de VPN, y más.
Aunque actualmente no hay una prueba de concepto (PoC) directa para CVE-2021-22937, el análisis de NCC Group proporciona varias capturas de pantalla de las modificaciones al PoC de CVE-2020-8260. Por esta razón, los expertos creen que una avalancha de exploits modificados se desatará en el futuro cercano.
Detección de CVE-2021-22937
De acuerdo con la asesoría emitida por Ivanti la semana pasada, CVE-2021-22937 impacta a todas las versiones de Pulse Connect Secure anteriores a la 9.1R12. Se insta a los administradores a actualizar a la última versión lo antes posible para bloquear posibles intentos de explotación.
Para ayudar a los profesionales de seguridad a detectar posibles ataques contra la infraestructura empresarial, SOC Prime ha lanzado una regla de caza gratuita para la detección de CVE-2021-22937.
Esta regla ayuda a identificar cualquier manipulación/operación de configuración de respaldo que indique posibles intentos de explotación para CVE-2021-22937.
SIEM Y ANALÍTICAS DE SEGURIDAD: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix
La regla está mapeada a MITRE ATT&CK® Framework abordando las tácticas de Acceso Inicial y la técnica de Explotación de Aplicación Expuesta (T1190). El contenido de detección está disponible en Threat Detection Marketplace de forma gratuita previo registro.
¡Obtén una suscripción gratuita a Threat Detection Marketplace para potenciar tus capacidades de defensa cibernética! Nuestra biblioteca de contenido SOC agrega más de 100K algoritmos de detección y respuesta mapeados directamente a marcos CVE y MITRE ATT&CK® para que puedas resistir los notorios ciberataques en las etapas más tempranas de la intrusión. ¿Ansioso por crear tus propias detecciones? ¡Únete a nuestro programa de recompensa de amenazas para un futuro más seguro!
