Ejecución remota de código en Pulse Connect Secure (CVE-2020-8218)

Hoy, nos gustaría advertirle sobre una vulnerabilidad descubierta recientemente que permite la ejecución remota de código en la aplicación Pulse Connect Secure versión<9.1R8. Como se mencionó en la investigación, el CVE-2020-8218 permite a un estafador ejecutar código arbitrario de forma remota en el VPN de Pulse Connector en su penúltima versión disponible.

Vulnerabilidad CVE-2020-8218 en Pulse Connect Secure

El CVE-2020-8218 es una de las cuatro vulnerabilidades encontradas recientemente en Pulse Secure. Ya existe una versión parcheada de la aplicación Pulse Connect, sin embargo, seguimos informando a la comunidad sobre las posibles consecuencias de usar una aplicación sin parchear.

Aunque la explotación exitosa de la vulnerabilidad requiere privilegios de administrador, la forma más fácil de defraudar los derechos administrativos es entregar un enlace con una URL maliciosa por correo electrónico y atraer al administrador a que haga clic en ella. Las VPN se han vuelto particularmente importantes y relevantes durante el confinamiento, permitiendo a las empresas cifrar las comunicaciones corporativas, así como autenticar a los usuarios.

Pulse Secure ha agregado muchas medidas de endurecimiento de seguridad en su aplicación, sin embargo, los investigadores enviaron exitosamente la carga útil a la máquina comprometida y lograron la ejecución remota de código. Aunque la autenticación se logró en realidad a través de un enlace entregado mediante un ataque de phishing, la vulnerabilidad CVE-2020-8218 no debe ser ignorada.

CVE-2020-8218 Detección

Emir Erdogan, un miembro activo del programa SOC Prime Threat Bounty Developer, creó una regla Sigma comunitaria para detectar la ejecución remota de código CVE-2020-8218 en Pulse Connect Secure: https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Acceso Inicial

Técnicas: Explotar Aplicación Expuesta a Internet (T1190)

¿Listo para probar el SOC Prime Threat Detection Marketplace? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.