Ivanti Corrige Vulnerabilidades Críticas en Pulse Connect Secure Bajo Explotación Activa

El 3 de mayo de 2021, Ivanti emitió una actualización de seguridad para abordar agujeros de seguridad altamente críticos en su dispositivo Pulse Connect Secure SSL VPN. Según se informa, los defectos han sido utilizados por actores APT para atacar agencias gubernamentales, objetos de infraestructura crítica y empresas privadas en todo EE.UU.

Vulnerabilidades de Pulse Connect Secure

Según la alerta de seguridad de CISA del 20 de abril de 2021, varios grupos de hackers patrocinados por estados han aprovechado los errores de Pulse Connect Secure en ciberataques dirigidos desde junio de 2020. Los actores utilizaron un fallo de omisión de autenticación crítico recientemente revelado (CVE-2021-22893) para ejecutar código arbitrario en el gateway de Pulse Connect Secure. Este error fue encadenado con problemas más antiguos (CVE-2020-8243, CVE-2020-8260, CVE-2019-11510) para obtener acceso inicial e instalar webshells en redes comprometidas.

Además, en mayo de 2021, Ivanti divulgó tres fallos adicionales que impactan en los productos de Pulse Connect Secure. El primer error es un problema crítico de desbordamiento de búfer (CVE-2021-22894) que permite a un actor autenticado remoto ejecutar código arbitrario con los más altos privilegios. El segundo fallo es un agujero de seguridad crítico de inyección de comandos (CVE-2021-22899) que permite la ejecución remota de código a través de Perfiles de Recursos de Archivos de Windows. Finalmente, el tercer error es un fallo de múltiples cargas no restringidas (CVE-2021-22900) que ofrece a los administradores autenticados la capacidad de realizar una escritura de archivos a través de la carga de archivos maliciosos.

Detección y Mitigación

Se encontraron vulnerables las versiones 9.0RX y 9.1RX de Pulse Connect Secure, por lo que se insta a los usuarios a actualizar a la versión 9.1R.11.4 lo antes posible. La actualización aborda todas las fallas, incluyendo un notorio CVE-2021-22893 que fue activamente utilizado por actores APT chinos para atacar agencias de defensa en EE.UU. Además, se solicita a los usuarios que apliquen las medidas de mitigación descritas en el último aviso de Ivanti para asegurar su protección contra posibles intrusiones.

Para mejorar la detección proactiva de ciberataques en curso, los usuarios también pueden descargar un conjunto de reglas Sigma gratuitas liberadas por el equipo de SOC Prime en cooperación con nuestros desarrolladores activos de Threat Bounty. Todo el contenido está directamente mapeado al marco MITRE ATT&CK® y contiene las referencias y descripciones correspondientes:

Vulnerabilidad Posible de RCE de Pulse Connect Secure CVE-2021-22893 (vía registro web)

Explotación Potencial de Vulnerabilidad de RCE de Pulse Connect Secure 2021 [CVE-2021-22893] (vía web)

Ataque Pulse Secure CVE-2019-11510

Suscríbete al Threat Detection Marketplace, una plataforma líder mundial de Detección como Código que agrega más de 100K consultas, parsers, dashboards preparados para SOC, reglas YARA y Snort, modelos de Aprendizaje Automático y Libros de Respuesta a Incidentes mapeados a los marcos CVE y MITRE ATT&CK. Nuestra base de contenido se enriquece cada día con el esfuerzo conjunto de más de 300 profesionales de seguridad experimentados de todo el mundo. ¿Interesado en las iniciativas de caza de amenazas de SOC Prime y deseas monetizar tus habilidades en ciberseguridad? ¡Únete a nuestro programa Thragt Bounty!

Ir a la Plataforma Únete a Threat Bounty