RCE in Pulse Connect Secure (CVE-2020-8218)

Oggi, vorremmo mettervi in guardia riguardo a una vulnerabilità recentemente scoperta che consente l’esecuzione di codice remoto nell’applicazione Pulse Connect Secure versione<9.1R8. Come menzionato nella ricerca, la CVE-2020-8218 permette a un truffatore di eseguire codice arbitrario in remoto sul VPN Pulse Connector nella sua penultima versione disponibile.

Vulnerabilità CVE-2020-8218 in Pulse Connect Secure

La CVE-2020-8218 è una delle quattro vulnerabilità recentemente individuate in Pulse Secure. Esiste già una versione patchata dell’applicazione Pulse Connect tuttavia continuiamo a informare la comunità sui possibili rischi dell’utilizzo di un’applicazione non patchata.

Sebbene lo sfruttamento riuscito della vulnerabilità richieda privilegi di amministratore, il modo più semplice per defraudare i diritti amministrativi è inviare un link con un URL malevolo in una email e attirare l’amministratore a cliccarci sopra. I VPN sono diventati particolarmente importanti e attuali durante il lockdown, permettendo alle aziende di crittografare le comunicazioni aziendali nonché autenticare gli utenti.

Pulse Secure ha aggiunto molte misure di rafforzamento della sicurezza nella loro applicazione, tuttavia, i ricercatori sono riusciti a inviare il payload alla macchina compromessa e hanno ottenuto l’esecuzione di codice remoto. Sebbene l’autenticazione sia stata effettivamente ottenuta tramite un link fornito da un attacco di phishing, la vulnerabilità CVE-2020-8218 non dovrebbe essere ignorata.

CVE-2020-8218 Rilevamento

Emir Erdogan, un membro attivo del programma SOC Prime Threat Bounty Developer, ha creato una regola Sigma per la comunità per rilevare l’esecuzione di codice remoto CVE-2020-8218 in Pulse Connect Secure: https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Accesso Iniziale

Tecniche: Sfruttare Applicazione Rivolta al Pubblico (T1190)

Pronto a provare il SOC Prime Threat Detection Marketplace? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.