Le vulnerabilità di Pulse Connect Secure sono sfruttate in attacchi in corso contro obiettivi di alto profilo

[post-views]
Aprile 21, 2021 · 4 min di lettura
Le vulnerabilità di Pulse Connect Secure sono sfruttate in attacchi in corso contro obiettivi di alto profilo

Il 20 aprile 2021, US-CERT ha emesso un avviso che avverte di una campagna dannosa in corso che sfrutta le vulnerabilità dei prodotti Pulse Connect Secure per attaccare organizzazioni negli Stati Uniti. La campagna è emersa a giugno 2020 e ha coinvolto diversi incidenti di sicurezza che hanno colpito agenzie governative, asset di infrastrutture critiche e organizzazioni del settore privato. Gli attori della minaccia si basano su una serie di falle note in Pulse Connect Secure per ottenere l’accesso iniziale e posizionare webshell sui sistemi compromessi. Queste webshell sono ulteriormente utilizzate per la registrazione delle password, il bypass dell’autenticazione singola e multifattoriale e per mantenere la persistenza attraverso gli aggiornamenti.

Vulnerabilità di Pulse Connect Secure Sotto Attacco

Secondo US-CERT, gli attori della minaccia sfruttano un insieme di quattro bug che colpiscono i prodotti Pulse Connect Secure. L’elenco include tre vulnerabilità precedenti che permettono agli attori di eseguire codice arbitrario (CVE-2020-8243, CVE-2020-8260) e leggere file arbitrari (CVE-2019-11510). Tutte queste falle di sicurezza erano state precedentemente divulgate e completamente corrette dal fornitore negli ultimi due anni. 

Inoltre, gli aggressori sfruttano una falla scoperta di recente (CVE-2021-22893), che secondo Ivanti, l’azienda fornitrice, impatta un numero molto limitato di clienti. È un bug di bypass dell’autenticazione che consente agli avversari non autenticati di eseguire file arbitrari sul gateway Pulse Connect Secure. Questa falla è classificata come critica e ottiene un punteggio CVSS di 10.0. Sebbene Ivanti abbia già rilasciato una soluzione temporanea per mitigare i possibili effetti negativi del problema di sicurezza, la patch completa non sarà disponibile prima di maggio 2021.

I ricercatori di sicurezza di FireEye stanno attualmente tracciando almeno 12 famiglie di malware distribuite con l’aiuto delle falle sopracitate. La maggior parte dei campioni dannosi non è correlata tra loro ed è stata divulgata in inchieste separate. Pertanto, esperti di sicurezza dichiarano con un alto livello di confidenza che più gruppi di hacker sono coinvolti nell’abuso di Pulse Connect Secure. 

In particolare, parte dell’attività dannosa rivelata è stata attribuita a un gruppo APT sostenuto dal governo cinese che ha preso di mira la Defense Industrial Base e istituzioni europee da agosto 2020 a marzo 2021. Inoltre, FireEye traccia l’attività notoria di un’altra minaccia persistente avanzata la cui attribuzione è attualmente indeterminata. Questo attore è stato coinvolto in diversi attacchi che sfruttavano le vulnerabilità di Pulse Connect Secure contro agenzie governative globali tra ottobre 2020 e marzo 2021.

Rilevamento e Mitigazione delle Falle di Pulse Connect Secure

Tutti gli utenti di Pulse Connect Secure sono esortati a verificare se i loro dispositivi sono completamente patchati e aggiornati. Ivanti ha rilasciato un post sul blog dedicato che dettaglia le vulnerabilità sotto attacco e fornisce i passaggi di mitigazione. Inoltre, il fornitore ha recentemente prodotto il Pulse Security Integrity Checker Tool che consente ai clienti di valutare le loro installazioni e verificare se stanno riscontrando problemi di sicurezza. 

Per migliorare la difesa proattiva contro gli attacchi in corso, il Team SOC Prime, in collaborazione con i nostri sviluppatori Threat Bounty, ha rilasciato un set di regole Sigma mirate al rilevamento delle vulnerabilità di Pulse Connect Secure.

Possibile sfruttamento della vulnerabilità RCE di Pulse Connect Secure 2021 [CVE-2021-22893] (via web)

Attacco a Pulse Connect Secure [CVE-2019-11510]

Inoltre, potresti controllare l’elenco completo delle rilevazioni che coprono le falle di Pulse Connect Secure nel Threat Detection Marketplace. Tutti i nuovi contenuti di rilevazione saranno aggiunti a questo articolo, quindi rimani sintonizzato sul nostro blog per non perdere ulteriori aggiornamenti. 

Iscriviti al Threat Detection Marketplace gratuitamente e accedi a oltre 100.000 query, parser, dashboard pronti per il SOC, regole YARA e Snort, modelli di Machine Learning e Playbook per la risposta agli incidenti mappati sui framework CVE e MITRE ATT&CK®. Desideri unirti alle iniziative di threat hunting e sviluppare le tue regole Sigma? Entra a far parte del nostro Threat Bounty Program!

Vai alla piattaforma Unisciti al Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente 4 min di lettura Ultime Minacce Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente by Daryna Olyniychuk CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione 4 min di lettura Ultime Minacce CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione by Veronika Telychko
Tutte le notizie