RCE dans Pulse Connect Secure (CVE-2020-8218)

[post-views]
août 31, 2020 · 2 min de lecture
RCE dans Pulse Connect Secure (CVE-2020-8218)

Aujourd’hui, nous souhaitons vous alerter sur une vulnérabilité récemment découverte qui permet l’exécution de code à distance dans l’application Pulse Connect Secure version <9.1R8. Comme mentionné dans la recherche, le CVE-2020-8218 permet à un fraudeur d’exécuter du code arbitraire à distance sur le VPN Pulse Connector dans sa version avant-dernière disponible.

Vulnérabilité CVE-2020-8218 dans Pulse Connect Secure

Le CVE-2020-8218 est l’une des quatre vulnérabilités récemment trouvées dans Pulse Secure. Il existe déjà une version corrigée de l’application Pulse Connect, cependant, nous continuons d’informer la communauté sur les conséquences possibles de l’utilisation d’une application non corrigée.

Bien que l’exploitation réussie de la vulnérabilité nécessite des privilèges administratifs, le moyen le plus simple de frauder les droits administratifs est de fournir un lien avec une URL malveillante dans un e-mail et d’inciter l’administrateur à cliquer dessus. Les VPN sont devenus particulièrement importants et d’actualité pendant le confinement, permettant aux entreprises de crypter les communications d’entreprise ainsi que d’authentifier les utilisateurs.

Pulse Secure a ajouté de nombreuses mesures de durcissement de la sécurité dans leur application, cependant, les chercheurs ont réussi à envoyer la charge utile à la machine compromise et à réaliser l’exécution de code à distance. Bien que l’authentification ait été réellement effectuée via un lien livré par une attaque de phishing, la vulnérabilité CVE-2020-8218 ne doit pas être ignorée.

CVE-2020-8218 Détection

Emir Erdogan, un membre actif du programme SOC Prime Threat Bounty Developer, a créé une règle Sigma communautaire pour détecter l’exécution de code à distance CVE-2020-8218 dans Pulse Connect Secure : https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Accès Initial

Techniques : Exploiter une application accessible au public (T1190)

 

Prêt à essayer le Marketplace SOC Prime Threat Detection ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion