Pulse Connect Secureの脆弱性がハイプロファイルなターゲットに対する継続的な攻撃に悪用されています

[post-views]
4月 21, 2021 · 6 分で読めます
Pulse Connect Secureの脆弱性がハイプロファイルなターゲットに対する継続的な攻撃に悪用されています

2021年4月20日、US-CERTは 警告 を発行し、脆弱なPulse Connect Secure製品を悪用した進行中の悪意のあるキャンペーンが米国内の組織を攻撃していることを警告しました。このキャンペーンは2020年6月に始まり、政府機関、重要インフラ資産、および民間セクターの組織に影響を与える複数のセキュリティインシデントが関与しています。脅威者はPulse Connect Secureの既知の欠陥を利用して初期アクセスを獲得し、侵害されたインスタンスにウェブシェルを配置します。これらのウェブシェルはさらにパスワードの記録、シングルおよび多要素認証の回避、アップグレードの中断を行うために使用されます。

攻撃されるPulse Connect Secureの脆弱性

US-CERTによれば、脅威者はPulse Connect Secure製品に影響を与える4つのバグを利用しています。このリストには、任意のコード実行を可能にする3つの古い脆弱性が含まれます(CVE-2020-8243, CVE-2020-8260)および任意ファイル読み取り(CVE-2019-11510)があります。これらのセキュリティホールはすべて、過去2年以内にベンダーによって開示され完全に修正されています。 

また、攻撃者は最近発見された欠陥(CVE-2021-22893)を利用しており、ベンダー会社のIvantiによれば、非常に限られた数の顧客に影響します。これは認証バイパスバグであり、認証されていない攻撃者がPulse Connect Secureゲートウェイで任意のファイルを実行できるようにします。この欠陥は深刻と評価され、CVSSスコアは10.0とされています。Ivantiはセキュリティ問題の可能な悪影響を軽減するための一時的な回避策を既にリリースしているものの、完全な修正は2021年5月より前に入手できません。

FireEyeのセキュリティ研究者は現在 追跡 中で、上記の欠陥を利用した少なくとも12のマルウェアファミリーが配布されています。ほとんどの悪意のあるサンプルは互いに関係しておらず、別々の調査で明らかにされました。したがって、セキュリティ専門家は、Pulse Connect Secureの悪用には複数のハッカーグループが関与していると高い確信をもって述べています。 

特に、公表された悪意のある活動の一部は、中国政府が支援するAPTグループに帰属し、2020年8月から2021年3月の間、防衛産業基盤および欧州機関を標的としました。さらに、FireEyeは別の特定されていないアドバンスド・パーシステント・スレットの悪名高い活動を追跡しています。このアクターは、2020年10月から2021年3月の間に世界の政府機関に対してPulse Connect Secureの脆弱性を利用した複数の攻撃に関与しました。

Pulse Connect Secureの欠陥の検出と緩和

すべてのPulse Connect Secureユーザーは、自分の機器が完全に更新され、アップグレードされているかを確認するよう促されます。Ivantiは、攻撃されている脆弱性とその緩和策を詳述した ブログ記事 を公開しています。さらに、ベンダーは最近、 Pulse Security Integrity Checker Tool を作成し、顧客が自分のインストールを評価し、セキュリティ問題が発生していないかを確認できるようにしています。 

進行中の攻撃に対するプロアクティブな防御を強化するために、SOC Primeチームは我々の脅威バウンティ開発者と協力して、Pulse Connect Secureの脆弱性検出を目的としたSigmaルールセットをリリースしました。

2021年のPulse Connect Secure RCE 脆弱性の悪用の可能性 [CVE-2021-22893] (ウェブ経由)

Pulse Connect Secure攻撃 [CVE-2019-11510]

また、Pulse Connect Secureの欠陥をカバーする検出の 完全なリスト を脅威検出マーケットプレイスで確認できます。新しい検出コンテンツはすべてこの記事に追加されるため、今後の更新をお見逃しなく。 

脅威検出マーケットプレイスに無料で登録し、10万以上のクエリ、パーサー、SOC対応ダッシュボード、YARAおよびSnortルール、機械学習モデル、インシデント対応プレイブック へのアクセスを獲得し、CVEおよびMITRE ATT&CK®フレームワークにマッピングされています。 脅威のハンティングイニシアチブに参加して独自のSigmaルールを開発したいですか?脅威バウンティプログラムに参加しましょう!

プラットフォームへ移動 脅威バウンティに参加

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース