Hoy, nos gustaría advertirle sobre una vulnerabilidad descubierta recientemente que permite la ejecución remota de código en la aplicación Pulse Connect Secure versión<9.1R8. Como se mencionó en la investigación, el CVE-2020-8218 permite a un estafador ejecutar código arbitrario de forma remota en el VPN de Pulse Connector en su penúltima versión disponible.
Vulnerabilidad CVE-2020-8218 en Pulse Connect Secure
El CVE-2020-8218 es una de las cuatro vulnerabilidades encontradas recientemente en Pulse Secure. Ya existe una versión parcheada de la aplicación Pulse Connect, sin embargo, seguimos informando a la comunidad sobre las posibles consecuencias de usar una aplicación sin parchear.
Aunque la explotación exitosa de la vulnerabilidad requiere privilegios de administrador, la forma más fácil de defraudar los derechos administrativos es entregar un enlace con una URL maliciosa por correo electrónico y atraer al administrador a que haga clic en ella. Las VPN se han vuelto particularmente importantes y relevantes durante el confinamiento, permitiendo a las empresas cifrar las comunicaciones corporativas, así como autenticar a los usuarios.
Pulse Secure ha agregado muchas medidas de endurecimiento de seguridad en su aplicación, sin embargo, los investigadores enviaron exitosamente la carga útil a la máquina comprometida y lograron la ejecución remota de código. Aunque la autenticación se logró en realidad a través de un enlace entregado mediante un ataque de phishing, la vulnerabilidad CVE-2020-8218 no debe ser ignorada.
CVE-2020-8218 Detección
Emir Erdogan, un miembro activo del programa SOC Prime Threat Bounty Developer, creó una regla Sigma comunitaria para detectar la ejecución remota de código CVE-2020-8218 en Pulse Connect Secure: https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Acceso Inicial
Técnicas: Explotar Aplicación Expuesta a Internet (T1190)
¿Listo para probar el SOC Prime Threat Detection Marketplace? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.