CVE-2021-22937 Detection: Patch Bypass Vulnerability in Pulse Connect Secure
Indice:
Ivanti ha affrontato una vulnerabilità critica di sicurezza (CVE-2021-22937) che interessa i suoi VPN Pulse Connect Secure. Il difetto è un bypass della patch pubblicata in ottobre dell’anno scorso per mitigare il CVE-2020-8260, un bug noto che consente agli amministratori malevoli di eseguire codice arbitrario da remoto con privilegi di root.
Descrizione CVE-2021-22937
Secondo l’ approfondita indagine di NCC Group, CVE-2021-22937 è un bypass della patch per una falla di alta gravità affrontata nell’autunno 2020. La vulnerabilità iniziale (CVE-2020-8260) deriva dal problema di estrazione gzip non controllata presente nell’interfaccia Pulse Connect Secure. La configurazione errata consente agli avversari di crittografare e decrittare archivi creati malevoli con una chiave hardcoded, importare tali archivi tramite GUI amministrativa e eseguire sovrascritture di file arbitrarie che risultano in esecuzione di codice da remoto (RCE).
Per prevenire attacchi CVE-2020-8260, il fornitore ha introdotto la validazione per i file estratti. Tuttavia, non è applicabile per gli archivi di tipo “profiler”. Di conseguenza, una leggera modifica dell’exploit originale CVE-2020-8260 consente di superare le protezioni e sfruttare il vecchio bug RCE per attacchi sul campo.
Lo sfruttamento riuscito di CVE-2021-22937 consente agli avversari autenticati con diritti di amministratore di modificare il filesystem, introdurre una backdoor persistente, rubare credenziali di accesso, compromettere i client VPN e molto altro.
Sebbene attualmente non ci sia una proof-of-concept (PoC) diretta per CVE-2021-22937, l’analisi di NCC Group fornisce diversi screenshot delle modifiche al PoC CVE-2020-8260. Per questo motivo, gli esperti ritengono che una valanga di exploit modificati esploderà nel futuro prossimo.
Rilevamento CVE-2021-22937
Secondo l’ avviso emesso da Ivanti la settimana scorsa, CVE-2021-22937 impatta tutte le versioni Pulse Connect Secure precedenti a 9.1R12. Gli amministratori sono incoraggiati ad aggiornare all’ultima versione al più presto per bloccare possibili tentativi di sfruttamento.
Per assistere i professionisti della sicurezza nell’individuare possibili attacchi contro l’infrastruttura aziendale, SOC Prime ha rilasciato una regola gratuita per la caccia di CVE-2021-22937.
Questa regola aiuta a identificare qualsiasi manipolazione/configurazione di backup che indichi possibili tentativi di sfruttamento per CVE-2021-22937.
SIEM e ANALISI DI SICUREZZA: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix
La regola è mappata al MITRE ATT&CK® Framework che affronta le tattiche di Accesso Iniziale e la tecnica di Sfruttamento delle Applicazioni Accessibili Pubblicamente (T1190). Il contenuto di rilevamento è disponibile gratuitamente nel Threat Detection Marketplace previa registrazione.
Ottieni un abbonamento gratuito al Threat Detection Marketplace per potenziare le tue capacità di difesa informatica! La nostra libreria di contenuti SOC aggrega oltre 100.000 algoritmi di rilevamento e risposta mappati direttamente ai framework CVE e MITRE ATT&CK® per resistere ai famigerati attacchi informatici nelle fasi più precoci di intrusione. Vuoi creare le tue rilevazioni? Partecipa al nostro programma Threat Bounty per un futuro più sicuro!
