Ivanti Risolve Vulnerabilità Critiche di Pulse Connect Secure Sfruttate Attivamente

Il 3 maggio 2021, Ivanti ha rilasciato un aggiornamento di sicurezza che affronta problemi di sicurezza altamente critici nel suo appliance Pulse Connect Secure SSL VPN. È stato riportato che le falle sono state utilizzate da attori APT per colpire agenzie governative, oggetti di infrastrutture critiche e aziende private negli Stati Uniti.

Vulnerabilità di Pulse Connect Secure

Secondo l’ alert di sicurezza del CISA del 20 aprile 2021, diversi gruppi di hacker sponsorizzati da stati hanno sfruttato i bug di Pulse Connect Secure in cyber-attacchi mirati dal giugno 2020. Gli attori hanno utilizzato una recente falla critica di bypass dell’autenticazione (CVE-2021-22893) per eseguire codice arbitrario sul gateway Pulse Connect Secure. Questo bug è stato concatenato con problemi più vecchi (CVE-2020-8243, CVE-2020-8260, CVE-2019-11510) per ottenere accesso iniziale e posizionare webshell su reti compromesse.

Inoltre, a maggio 2021, Ivanti ha divulgato altre tre falle che impattano sui prodotti Pulse Connect Secure. Il primo bug è un problema critico di overflow del buffer (CVE-2021-22894) che consente a un attore autenticato remoto di eseguire codice arbitrario con i massimi privilegi. La seconda falla è un problema critico di iniezione di comandi (CVE-2021-22899) che abilita l’esecuzione di codice remoto tramite Windows FIle Resource Profiles. Infine, il terzo bug è un problema di caricamenti multipli non restritti (CVE-2021-22900) che fornisce agli amministratori autenticati la capacità di eseguire una scrittura file tramite il caricamento di un archivio malevolo.

Rilevamento e Mitigazione

Le versioni di Pulse Connect Secure 9.0RX e 9.1RX sono risultate vulnerabili, quindi gli utenti sono invitati ad aggiornare alla versione 9.1R.11.4 il prima possibile. L’aggiornamento affronta tutte le falle, inclusa la famosa CVE-2021-22893 che è stata attivamente utilizzata da attori APT cinesi per colpire agenzie di difesa negli Stati Uniti. Inoltre, si sollecitano gli utenti ad applicare i passaggi di mitigazione descritti nell’ultima avviso di Ivanti per garantire la loro protezione da possibili intrusioni.

Per migliorare il rilevamento proattivo degli attacchi informatici in corso, gli utenti possono anche scaricare un set di regole Sigma gratuite rilasciate dal Team SOC Prime in collaborazione con i nostri sviluppatori attivi di Threat Bounty. Tutto il contenuto è mappato direttamente al framework MITRE ATT&CK® e contiene i riferimenti e le descrizioni corrispondenti:

CVE-2021-22893 Possibile attacco di vulnerabilità RCE Pulse Connect Secure (tramite registro web)

Possibile sfruttamento della vulnerabilità RCE Pulse Connect Secure 2021 [CVE-2021-22893] (tramite web)

Attacco Pulse Secure CVE-2019-11510

Iscriviti al Threat Detection Marketplace, una piattaforma leader mondiale per la rilevazione come codice che aggrega oltre 100K di query, parser, dashboard pronte per SOC, regole YARA e Snort, modelli di Machine Learning e Playbook di Risposta agli Incidenti mappati ai framework CVE e MITRE ATT&CK. La nostra base di contenuti è arricchita ogni giorno con lo sforzo congiunto di oltre 300 professionisti della sicurezza esperti da tutto il mondo. Interessato alle iniziative di threat hunting di SOC Prime e vuoi monetizzare le tue competenze in cybersecurity? Unisciti al nostro programma Threat Bounty!

Vai alla Piattaforma Unisciti al Threat Bounty