Détection CVE-2021-22937 : Vulnérabilité de Contournement de Correctif dans Pulse Connect Secure
Table des matières :
Ivanti a résolu une faille de sécurité critique (CVE-2021-22937) qui affecte ses VPN Pulse Connect Secure. La faille est un contournement du correctif publié en octobre de l’année dernière pour atténuer le CVE-2020-8260, un bug notoire qui permet à des administrateurs malveillants d’exécuter du code arbitraire à distance avec des privilèges root.
Description CVE-2021-22937
Selon l’ enquête approfondie du groupe NCC, le CVE-2021-22937 est un contournement de correctif pour une faille de gravité élevée adressée à l’automne 2020. La faille de sécurité initiale (CVE-2020-8260) provient du problème d’extraction gzip non contrôlée présent dans l’interface Pulse Connect Secure. La mauvaise configuration permet aux adversaires de chiffrer et de déchiffrer des archives conçues de manière malveillante avec une clé intégrée, d’importer ces archives via une interface d’administration, et de procéder à un écrasement de fichier arbitraire qui aboutit à une exécution de code à distance (RCE).
Pour prévenir les attaques CVE-2020-8260, le fournisseur a introduit une validation des fichiers extraits. Cependant, elle ne s’applique pas aux archives de type “profiler”. En conséquence, une légère modification de l’exploit CVE-2020-8260 original permet de contourner les protections et d’exploiter le vieux bug RCE pour des attaques dans la nature.
L’exploitation réussie du CVE-2021-22937 permet aux adversaires authentifiés ayant des droits administrateur de modifier le système de fichiers, d’introduire une porte dérobée persistante, de voler des informations de connexion, de compromettre les clients VPN, et plus encore.
Bien qu’il n’existe actuellement aucune preuve de concept (PoC) directe pour le CVE-2021-22937, l’analyse effectuée par le groupe NCC fournit plusieurs captures d’écran des modifications du PoC du CVE-2020-8260. Pour cette raison, les experts pensent qu’une avalanche d’exploits modifiés émergera dans un futur proche.
Détection CVE-2021-22937
Selon l’ avis publié par Ivanti la semaine dernière, le CVE-2021-22937 impacte toutes les versions de Pulse Connect Secure antérieures à 9.1R12. Les administrateurs sont invités à mettre à jour vers la dernière version dès que possible pour éviter des tentatives d’exploitation possibles.
Pour aider les praticiens de la sécurité à repérer d’éventuelles attaques contre l’infrastructure de l’entreprise, SOC Prime a publié une règle de chasse gratuite pour la détection du CVE-2021-22937.
Cette règle aide à identifier toute manipulation/opération de configuration de sauvegarde qui indique des tentatives d’exploitation possibles pour le CVE-2021-22937.
SIEM & ANALYTIQUE DE SÉCURITÉ : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix
La règle est mappée à MITRE ATT&CK® Framework traitant des tactiques d’Accès Initial et de la technique d’Exploitation des Applications Exposées (T1190). Le contenu de détection est disponible sur le Threat Detection Marketplace gratuitement sur inscription.
Obtenez un abonnement gratuit à Threat Detection Marketplace pour renforcer vos capacités de défense cybernétique ! Notre bibliothèque de contenu SOC regroupe plus de 100K algorithmes de détection et de réponse directement mappés aux cadres CVE et MITRE ATT&CK® pour que vous puissiez résister aux cyberattaques notoires dès les premiers stades d’intrusion. Vous êtes impatient de créer vos propres détections ? Rejoignez notre programme Threat Bounty pour un avenir plus sûr !
