CVE-2021-22937 検出: Pulse Connect Secureにおけるパッチバイパスの脆弱性

Ivantiは、Pulse Connect Secure VPNに影響を及ぼす重要なセキュリティホール（CVE-2021-22937）に対応しました。この欠陥は、悪意のある管理者がルート権限で任意のコードをリモートで実行できる悪名高いバグであるCVE-2020-8260を緩和するために昨年10月に発行されたパッチを回避するものです。

CVE-2021-22937の説明

による詳細な調査によると NCCグループ、CVE-2021-22937は、2020年秋に対処された高重大度の欠陥のパッチ回避です。 最初のセキュリティホール （CVE-2020-8260）は、Pulse Connect Secureインターフェース内の制御されていないgzip抽出問題に起因しています。この設定ミスにより、攻撃者はハードコードされたキーで悪意のあるアーカイブを暗号化および復号化し、管理GUIを介してそれらをインポートし、リモートコード実行（RCE）を引き起こす任意のファイル上書きを実行することができます。

CVE-2020-8260攻撃を防ぐために、ベンダーは抽出されたファイルに対する検証を導入しました。ただし、「profiler」タイプのアーカイブには適用されません。その結果、元のCVE-2020-8260エクスプロイトをわずかに改変することで、保護を乗り越え、野外で攻撃に古いRCEバグを利用できるようになります。

CVE-2021-22937の悪用が成功すると、認証済みの攻撃者は管理権限でファイルシステムを変更し、永続的なバックドアを導入し、ログイン情報を盗み、VPNクライアントを侵害し、その他の操作を行うことができます。

現在、CVE-2021-22937の直接的な概念実証（PoC）はありませんが、NCCグループによる分析ではCVE-2020-8260のPoCに対するいくつかの変更を示すスクリーンショットが提供されています。このため、専門家は、近い将来、大量の改変されたエクスプロイトが発生すると考えています。

CVE-2021-22937の検出

による詳細な調査によると Ivantiによって先週発行された勧告によれば、CVE-2021-22937は9.1R12以前のすべてのPulse Connect Secureバージョンに影響を及ぼします。管理者には可能な限り早く最新バージョンにアップグレードして、盗掘の試みに対する防護を強化するよう促されています。 issued by Ivanti last week, CVE-2021-22937 impacts all Pulse Connect Secure versions before 9.1R12. The admins are urged to upgrade to the latest version ASAP to block possible exploitation attempts.

企業インフラに対する攻撃の可能性を見つける手助けとして、SOC PrimeはCVE-2021-22937検出のための無料のハンティングルールを公開しました。

RCE脆弱性の悪用のための可能性のあるPulse Secure VPNバックアップ設定操作 [CVE-2020-8260/CVE-2021-22937]

このルールはCVE-2021-22937の潜在的な悪用試行を示唆するバックアップ設定の操作を特定するのに役立ちます。

SIEM & SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix

このルールはMITRE ATT&CK® フレームワークにマッピングされており、初期アクセス戦術およびパブリックにさらされたアプリケーションの悪用技術（T1190）に対処しています。検出コンテンツは登録後にThreat Detection Marketplaceで無料で利用可能です。

無料サブスクリプションを取得し、サイバー防御力を高めましょう！私たちのSOCコンテンツライブラリは、悪名高いサイバー攻撃に対抗し、侵入の初期段階で対処するために、CVEおよびMITRE ATT&CK®フレームワークに直接マッピングされた10万件を超える検出および応答アルゴリズムを集約しています。独自の検出を作成することに興味がありますか？より安全な未来のために、私たちのThreat Bountyプログラムに参加しましょう！

プラットフォームに移動 Threat Bountyに参加