RCE in Pulse Connect Secure (CVE-2020-8218)

本日、Pulse Connect Secureアプリケーションバージョン<9.1R8におけるリモートコード実行を許可する最近発見された脆弱性について警告したいと思います。調査で述べられているように、CVE-2020-8218により、詐欺師はPulse Connector VPNの一つ前のバージョンで任意のコードをリモートで実行することが可能になります。

Pulse Connect SecureにおけるCVE-2020-8218の脆弱性

CVE-2020-8218は、Pulse Secureで最近発見された4つの脆弱性の1つです。Pulse Connectアプリケーションには既にパッチが適用されたバージョンがありますが、未パッチのアプリケーションを使用することの可能性のある影響について、引き続きコミュニティに情報提供を行っています。

成功した脆弱性の悪用には管理者権限が必要ですが、管理者権限を詐取する最も簡単な方法は、悪意のあるURLを含むリンクをメールで送信し、管理者にそれをクリックさせることです。ロックダウン中、企業が企業間通信を暗号化し、ユーザーを認証するためにVPNが特に重要で時宜を得たものになっています。

Pulse Secureはアプリケーションに多くのセキュリティ向上対策を追加しましたが、研究者はペイロードを侵害されたマシンに成功裏に送信してリモートコード実行を達成しました。認証はフィッシング攻撃で送信されたリンクを介して実際に達成されましたが、CVE-2020-8218の脆弱性は無視すべきではありません。

CVE-2020-8218 検知

エミール・エルドアン、SOC Prime Threat Bounty Developerプログラムの積極的なメンバーであり、Pulse Connect SecureにおけるCVE-2020-8218のリモートコード実行を検出するためのコミュニティSigmaルールを作成しました： https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1

このルールは、以下のプラットフォーム向けの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 初期アクセス

技術: 公開されたアプリケーションを悪用する (T1190)

SOC Prime Threat Detection Marketplaceを試してみませんか？ 無料で登録または Threat Bounty Programに参加 して、自分のコンテンツを作成し、TDMコミュニティと共有しましょう。