Les vulnérabilités de Pulse Connect Secure sont exploitées dans des attaques en cours contre des cibles de haut profil

[post-views]
avril 21, 2021 · 4 min de lecture
Les vulnérabilités de Pulse Connect Secure sont exploitées dans des attaques en cours contre des cibles de haut profil

Le 20 avril 2021, l’US-CERT a émis une alerte avertissant d’une campagne malveillante en cours abusant de produits Pulse Connect Secure vulnérables pour attaquer des organisations à travers les États-Unis. La campagne a éclaté en juin 2020 et a impliqué plusieurs incidents de sécurité affectant les agences gouvernementales, les infrastructures critiques et les organisations du secteur privé. Les acteurs de la menace s’appuient sur un ensemble de failles connues dans Pulse Connect Secure pour obtenir un accès initial et placer des webshells sur des instances compromises. Ces webshells sont ensuite utilisés pour enregistrer les mots de passe, contourner les authentifications simples et multifactor, et persister à travers les mises à jour.

Vulnérabilités de Pulse Connect Secure sous attaque

Selon l’US-CERT, les acteurs de la menace exploitent un ensemble de quatre vulnérabilités affectant les produits Pulse Connect Secure. La liste comprend trois vulnérabilités plus anciennes permettant l’exécution de code arbitraire (CVE-2020-8243, CVE-2020-8260) et la lecture de fichiers arbitraires (CVE-2019-11510). Tous ces trous de sécurité ont été précédemment divulgués et complètement corrigés par le fournisseur au cours des deux dernières années. 

De plus, les attaquants exploitent un défaut récemment découvert (CVE-2021-22893), qui selon Ivanti, l’entreprise fournisseur, impacte un nombre très limité de clients. Il s’agit d’un défaut de contournement de l’authentification qui permet à des adversaires non authentifiés d’exécuter des fichiers arbitraires sur la passerelle Pulse Connect Secure. Ce défaut est classé critique et obtient un score CVSS de 10,0. Bien qu’Ivanti ait déjà publié une solution temporaire pour atténuer les effets négatifs possibles de ce problème de sécurité, le correctif complet ne sera pas disponible avant mai 2021.

Les chercheurs en sécurité de FireEye sont actuellement en train de suivre au moins 12 familles de logiciels malveillants répartis avec l’aide des failles mentionnées ci-dessus. La plupart des échantillons néfastes sont sans lien les uns avec les autres et ont été découverts dans des enquêtes distinctes. Par conséquent, les experts en sécurité affirment avec un haut niveau de confiance que plusieurs groupes de hackers sont impliqués dans l’exploitation de Pulse Connect Secure. 

Notamment, une partie de l’activité malveillante révélée a été attribuée à un groupe APT soutenu par le gouvernement chinois qui a ciblé la base industrielle de défense et les institutions européennes d’août 2020 à mars 2021. De plus, FireEye suit les activités notoires d’une autre menace persistante avancée dont l’attribution n’est actuellement pas déterminée. Cet acteur a été impliqué dans plusieurs attaques exploitant les vulnérabilités de Pulse Connect Secure contre les agences gouvernementales mondiales entre octobre 2020 et mars 2021.

Détection et atténuation des failles de Pulse Connect Secure

Tous les utilisateurs de Pulse Connect Secure sont invités à vérifier si leurs appareils sont complètement corrigés et mis à niveau. Ivanti a publié un article de blog détaillant les vulnérabilités sous le feu et fournissant les étapes d’atténuation. De plus, le fournisseur a récemment produit le Outil de vérification de l’intégrité de Pulse Security permettant aux clients d’évaluer leurs installations et de vérifier s’ils rencontrent des problèmes de sécurité. 

Pour améliorer la défense proactive contre les attaques en cours, l’équipe SOC Prime, en collaboration avec nos développeurs Threat Bounty, a publié un ensemble de règles Sigma visant à détecter les vulnérabilités de Pulse Connect Secure.

Exploitation possible de la vulnérabilité RCE de Pulse Connect Secure 2021 [CVE-2021-22893] (via le web)

Attaque sur Pulse Connect Secure [CVE-2019-11510]

Vous pouvez également consulter la liste complète des détections couvrant les failles de Pulse Connect Secure dans le Threat Detection Marketplace. Tout le contenu de détection récent sera ajouté à cet article, alors restez à l’écoute de notre blog pour ne manquer aucune mise à jour. 

Abonnez-vous gratuitement au Threat Detection Marketplace et accédez à plus de 100 000 requêtes, parseurs, tableaux de bord prêts pour le SOC, règles YARA et Snort, modèles de Machine Learning, et Playbooks de réponse aux incidents reliés aux cadres CVE et MITRE ATT&CK®. Vous êtes curieux de participer aux initiatives de chasse aux menaces et de développer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty !

Aller à la plateforme Rejoindre le Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes