Vulnerabilidades de Pulse Connect Secure están siendo explotadas en ataques en curso contra objetivos de alto perfil

[post-views]
abril 21, 2021 · 4 min de lectura
Vulnerabilidades de Pulse Connect Secure están siendo explotadas en ataques en curso contra objetivos de alto perfil

El 20 de abril de 2021, US-CERT emitió una alerta advirtiendo sobre una campaña maliciosa en curso que aprovecha productos vulnerables de Pulse Connect Secure para atacar organizaciones en todo Estados Unidos. La campaña comenzó en junio de 2020 e involucró múltiples incidentes de seguridad que afectaron a agencias gubernamentales, activos de infraestructura crítica y organizaciones del sector privado. Los actores de amenazas se basan en un conjunto de fallas conocidas en Pulse Connect Secure para obtener acceso inicial y colocar webshells en instancias comprometidas. Estos webshells se utilizan adicionalmente para registrar contraseñas, omitir la autenticación simple y multifactor, y persistir a lo largo de las actualizaciones.

Vulnerabilidades de Pulse Connect Secure Bajo Ataque

Según US-CERT, los actores de amenazas aprovechan un conjunto de cuatro errores que afectan a los productos Pulse Connect Secure. La lista incluye tres vulnerabilidades más antiguas que permiten a los actores ejecutar código arbitrario (CVE-2020-8243, CVE-2020-8260) y leer archivos arbitrarios (CVE-2019-11510). Todos estos agujeros de seguridad fueron divulgados y completamente parcheados por el proveedor en los últimos dos años. 

Además, los atacantes aprovechan un defecto descubierto recientemente (CVE-2021-22893), que según Ivanti, la empresa proveedora, impacta a un número muy limitado de clientes. Es un error de omisión de autenticación que permite a adversarios no autenticados ejecutar archivos arbitrarios en la puerta de enlace de Pulse Connect Secure. Este defecto se clasifica como crítico y obtiene una puntuación CVSS de 10.0. Aunque Ivanti ya ha liberado una solución temporal para mitigar los posibles efectos negativos del problema de seguridad, el parche completo no estará disponible antes de mayo de 2021.

Los investigadores de seguridad de FireEye están actualmente rastreando al menos 12 familias de malware que se están distribuyendo con la ayuda de las fallas mencionadas anteriormente. La mayoría de las muestras nefastas no están relacionadas entre sí y fueron divulgadas en investigaciones separadas. Por lo tanto, los expertos en seguridad declaran con un alto nivel de confianza que múltiples grupos de hackers están involucrados en el abuso de Pulse Connect Secure. 

Notablemente, parte de la actividad maliciosa revelada se atribuyó a un grupo APT respaldado por el gobierno chino que apuntó a la Base Industrial de Defensa e instituciones europeas durante agosto de 2020 – marzo de 2021. Además, FireEye rastrea la actividad notoria de otra amenaza persistente avanzada cuya atribución aún no está determinada. Este actor estuvo involucrado en múltiples ataques aprovechando las vulnerabilidades de Pulse Connect Secure contra agencias gubernamentales globales entre octubre de 2020 – marzo de 2021.

Detección y Mitigación de Fallas de Pulse Connect Secure

Se insta a todos los usuarios de Pulse Connect Secure a verificar si sus dispositivos están completamente parcheados y actualizados. Ivanti ha lanzado una entrada de blog detallando las vulnerabilidades bajo ataque y proporcionando los pasos de mitigación. Además, el proveedor ha producido recientemente el Herramienta de Verificación de Integridad de Seguridad Pulse que permite a los clientes evaluar sus instalaciones y comprobar si están experimentando algún problema de seguridad. 

Para mejorar la defensa proactiva contra los ataques en curso, el Equipo de SOC Prime, en colaboración con nuestros desarrolladores de Threat Bounty, ha lanzado un conjunto de reglas Sigma dirigidas a la detección de vulnerabilidades de Pulse Connect Secure.

Posible Explotación de Vulnerabilidad RCE en Pulse Connect Secure 2021 [CVE-2021-22893] (vía web)

Ataque a Pulse Connect Secure [CVE-2019-11510]

También, puede consultar la lista completa de detecciones que cubren las fallas de Pulse Connect Secure en Threat Detection Marketplace. Todo el contenido nuevo de detección se agregará a este artículo, así que permanezca atento a nuestro blog para no perderse futuras actualizaciones. 

Suscríbase a Threat Detection Marketplace de manera gratuita y acceda a más de 100K consultas, analizadores, tableros listos para SOC, reglas YARA y Snort, modelos de Machine Learning y Libros de Respuesta a Incidentes mapeados a los marcos CVE y MITRE ATT&CK®. ¿Ansioso por unirse a iniciativas de caza de amenazas y desarrollar sus propias reglas Sigma? ¡Únase a nuestro Programa de Recompensas por Amenazas!

Ir a la Plataforma Unirse a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación 4 min de lectura Últimas Amenazas CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación by Veronika Telychko
Todas las noticias