Ivanti Patches Critical Pulse Connect Secure Flaws Under Active Exploitation

2021年5月3日に、IvantiはPulse Connect Secure SSL VPN装置に存在する非常に重大なセキュリティホールに対処するセキュリティアップデートを発表しました。この脆弱性は、政府機関、重要インフラ施設、米国の民間企業を狙ったAPTアクターによって利用されたと報告されています。

Pulse Connect Secureの脆弱性

によれば、 CISAのセキュリティ警告 では、2021年4月20日に、いくつかの国家支援ハッカーグループがPulse Connect Secureのバグを利用して 標的型サイバー攻撃 を2020年6月以降から行っていることが示されています。アクターは、最近公開された重大な認証バイパス脆弱性（CVE-2021-22893）を使用してPulse Connect Secureゲートウェイで任意のコードを実行できるようにしました。このバグは、以前の問題（CVE-2020-8243、CVE-2020-8260、CVE-2019-11510）と連携して、初期アクセスを獲得し、侵害されたネットワークにwebshellを配置しました。

さらに、2021年5月には、IvantiはPulse Connect Secure製品に影響を与える3つの追加の脆弱性を公開しました。最初のバグは重大なバッファオーバーフローの問題です（CVE-2021-22894) で、リモートで認証されたアクターが最高権限で任意のコードを実行できるようにします。2番目の脆弱性は、重大なコマンドインジェクションのセキュリティホールです（CVE-2021-22899) で、Windowsファイルリソースプロファイルを介してリモートコード実行を可能にします。最後に、3番目のバグは、複数の無制限のアップロードの不具合です（CVE-2021-22900) で、認証された管理者が悪意のあるアーカイブのアップロードによってファイルを書き込むことができるようにします。

検出と緩和

Pulse Connect Secureのバージョン9.0RXおよび9.1RXが脆弱であることが判明したため、ユーザーはできるだけ早く9.1R.11.4バージョンにアップグレードすることが推奨されます。このアップデートは、CVE-2021-22893のような悪名高い脆弱性を含むすべての脆弱性に対処しています。 中国のAPTアクターが米国の防衛機関を狙ってこの脆弱性を使用していたことも明らかで、最新の 勧告 に記された緩和手順を適用してもらうことが求められます。

進行中のサイバー攻撃の積極的な検出を向上させるために、ユーザーは、SOC Primeチームと協力して私たちの活発な脅威バウンティ開発者によってリリースされた無料のSigmaルールセットをダウンロードすることもできます。すべてのコンテンツはMITRE ATT&CK®フレームワークに直接マッピングされており、対応する参照と説明が含まれています。

CVE-2021-22893可能性のあるPulse Connect Secure RCE脆弱性攻撃（Webログ経由）

可能性のあるPulse Connect Secure RCE脆弱性の利用2021 [CVE-2021-22893]（Web経由）

Pulse Secure攻撃CVE-2019-11510

Threat Detection Marketplaceにサブスクライブすることで、100K以上のクエリ、パーサー、SOC対応ダッシュボード、YARAおよびSnortルール、機械学習モデル、インシデントレスポンスプレイブックがCVEおよびMITRE ATT&CKフレームワークにマッピングされた、世界をリードするDetection as Codeプラットフォームにアクセスできます。当社のコンテンツベースは世界中の300人以上の経験豊富なセキュリティプロフェッショナルの共同努力で毎日補強されています。SOC Primeの脅威ハンティング活動に興味があり、サイバーセキュリティのスキルを収益化したい場合は、当社のThreat Bountyプログラムにご参加ください！

プラットフォームに移動 Threat Bountyに参加