Ivanti corrige des failles critiques de Pulse Connect Secure sous exploitation active
Table des matières :
Le 3 mai 2021, Ivanti a publié une mise à jour de sécurité destinée à corriger des failles de sécurité hautement critiques dans son appliance Pulse Connect Secure SSL VPN. Il est rapporté que ces failles ont été exploitées par des acteurs APT pour cibler des agences gouvernementales, des infrastructures critiques et des entreprises privées à travers les États-Unis.
Vulnérabilités de Pulse Connect Secure
Selon l’ alerte de sécurité de la CISA du 20 avril 2021, plusieurs groupes de hackers parrainés par des États ont exploité des vulnérabilités de Pulse Connect Secure dans des cyberattaques ciblées depuis juin 2020. Les acteurs ont utilisé une faille critique de contournement d’authentification récemment divulguée (CVE-2021-22893) pour exécuter du code arbitraire sur la passerelle Pulse Connect Secure. Ce bug a été enchaîné avec d’anciens problèmes (CVE-2020-8243, CVE-2020-8260, CVE-2019-11510) pour obtenir un accès initial et placer des webshells sur des réseaux compromis.
De plus, en mai 2021, Ivanti a divulgué trois autres failles impactant les produits Pulse Connect Secure. Le premier bug est un problème critique de dépassement de tampon (CVE-2021-22894) qui permet à un acteur authentifié à distance d’exécuter du code arbitraire avec les privilèges les plus élevés. La deuxième faille est une faille critique d’injection de commande (CVE-2021-22899) qui permet l’exécution de code à distance via les profils de ressources de fichiers Windows. Enfin, le troisième bug est un défaut de téléchargement multiple non restreint (CVE-2021-22900) qui permet aux administrateurs authentifiés d’effectuer une écriture de fichier via le téléchargement d’une archive malveillante.
Détection et Atténuation
Les versions 9.0RX et 9.1RX de Pulse Connect Secure ont été identifiées comme vulnérables, il est donc conseillé aux utilisateurs de mettre à jour vers la version 9.1R.11.4 dès que possible. La mise à jour corrige toutes les failles, y compris le CVE-2021-22893 notoire qui a été activement utilisé par des acteurs APT chinois pour cibler des agences de défense aux États-Unis. De plus, les utilisateurs sont invités à appliquer les étapes d’atténuation décrites dans le dernier avis d’Ivanti pour garantir leur protection contre d’éventuelles intrusions.
Pour améliorer la détection proactive des cyberattaques en cours, les utilisateurs peuvent également télécharger un ensemble de règles Sigma gratuites publiées par l’équipe SOC Prime en coopération avec nos développeurs Threat Bounty actifs. Tout le contenu est directement cartographié au cadre MITRE ATT&CK® et contient les références et descriptions correspondantes :
CVE-2021-22893 Attaque de vulnérabilité RCE possible sur Pulse Connect Secure (via journal web)
Exploitation possible de la vulnérabilité RCE Pulse Connect Secure 2021 [CVE-2021-22893] (via web)
Attaque Pulse Secure CVE-2019-11510
Abonnez-vous au Threat Detection Marketplace, une plateforme de Détection en tant que Code de renommée mondiale qui agrège plus de 100K+ requêtes, analyseurs, tableaux de bord prêts pour le SOC, règles YARA et Snort, modèles d’apprentissage automatique et Playbooks de réponse aux incidents cartographiés sur les cadres CVE et MITRE ATT&CK. Notre base de contenu est enrichie chaque jour grâce à un effort conjoint de plus de 300 professionnels de la sécurité chevronnés du monde entier. Intéressé par les initiatives de chasse aux menaces de SOC Prime et souhaitez monétiser vos compétences en cybersécurité ? Rejoignez notre programme Threat Bounty !
