Pulse Connect Secure 취약점이 고프로파일 타겟에 대한 지속적인 공격에서 악용되고 있습니다

[post-views]
4월 21, 2021 · 3 분 읽기
Pulse Connect Secure 취약점이 고프로파일 타겟에 대한 지속적인 공격에서 악용되고 있습니다

2021년 4월 20일, US-CERT는 경고를 발표했습니다. 이는 미국 전역의 조직을 공격하기 위해 취약한 Pulse Connect Secure 제품을 악용하는 진행 중인 악성 캠페인에 대한 경고였습니다. 이 캠페인은 2020년 6월에 시작되어 여러 보안 사건과 정부 기관, 주요 인프라 자산 및 민간 부문 조직에 영향을 미쳤습니다. 협박자들은 Pulse Connect Secure의 알려진 결함을 활용하여 초기 접근하고 취약한 인스턴스에 웹셸을 배치합니다. 이러한 웹셸은 비밀번호 로깅, 단일 및 다단계 인증 우회를 수행하고 업그레이드를 통해 지속되기 위해 사용됩니다.

공격받고 있는 Pulse Connect Secure 취약점

US-CERT에 따르면, 위협 행위자는 Pulse Connect Secure 제품에 영향을 미치는 네 가지 버그를 활용합니다. 여기에는 임의 코드 실행을 허용하는 세 가지 오래된 취약점이 포함됩니다 (CVE-2020-8243, CVE-2020-8260) 및 임의 파일 읽기 (CVE-2019-11510). 이러한 모든 보안 취약점은 제조업체에 의해 지난 2년 내 완전히 패치되었습니다. 

또한 공격자들은 최근에 발견된 결함 (CVE-2021-22893)을 활용합니다. Ivanti에 따르면, 이 결함은 매우 제한된 수의 고객에게 영향을 미칩니다. 이는 인증 우회 버그로, 인증되지 않은 적대적 행위자가 Pulse Connect Secure 게이트웨이에서 임의 파일 실행을 수행할 수 있게 합니다. 이 결함은 심각 등급으로 평가되어 CVSS 점수 10.0을 받았습니다. Ivanti는 이 보안 문제의 부정적 영향을 완화하기 위한 임시 해결책을 이미 발표했지만, 전체 패치는 2021년 5월 이전에 제공되지 않을 것입니다.

현재 FireEye의 보안 연구원들은 추적하고 있습니다 최소 12개의 악성코드 패밀리를 위에 언급된 결함을 사용해 배포하는 중입니다. 대부분의 악성 샘플은 서로 관련이 없으며 별도로 질의에서 공개되었습니다. 따라서 보안 전문가들은 여러 해커 그룹이 Pulse Connect Secure 남용에 관여하고 있다고 높은 신뢰도로 주장합니다. 

특히, 공개된 악성 활동의 일부는 2020년 8월 – 2021년 3월 동안 방위 산업 기지와 유럽 기관을 표적으로 삼은 중국 정부 후원 APT 그룹에 귀속되었습니다. 추가적으로, FireEye는 현재 귀속이 확인되지 않은 또 다른 고급 지속 위협의 악명 높은 활동을 추적 중입니다. 이 행위자는 전 세계 정부 기관을 대상으로 한 여러 공격에 Pulse Connect Secure 취약점을 활용한 것으로 밝혀졌습니다. (2020년 10월 – 2021년 3월 기간)

Pulse Connect Secure 결함 탐지 및 완화

모든 Pulse Connect Secure 사용자는 기기가 완전히 패치되고 업그레이드되었는지 확인해야 합니다. Ivanti는 현재 블로그 게시물 을 발표하여 공격받고 있는 취약점과 완화 단계에 대해 설명합니다. 추가적으로, 제조업체는 최근에 Pulse Security Integrity Checker Tool 을 개발하여 고객이 설치를 평가하고 보안 문제가 있는지 확인할 수 있게 했습니다. 

진행 중인 공격에 대한 선제적 방어 강화를 위해, SOC Prime Team은 Threat Bounty 개발자들과 협력하여 Pulse Connect Secure 취약점 탐지를 위한 Sigma 규칙 모음을 발표했습니다.

가능성 있는 Pulse Connect Secure RCE 취약점 악용 2021 [CVE-2021-22893] (웹 통해)

Pulse Connect Secure 공격 [CVE-2019-11510]

또한, Pulse Connect Secure 결함을 다루는 탐지 전체 목록을 Threat Detection Marketplace에서 확인할 수 있습니다. 모든 새로운 탐지 콘텐츠는 이 기사에 추가될 예정이니, 최신 업데이트를 놓치지 않으려면 저희 블로그를 주목하세요. 

Threat Detection Marketplace에 무료로 가입하고 100K+ 쿼리, 파서, SOC 준비 대시보드, YARA 및 Snort 규칙, 머신 러닝 모델 및 사건 대응 플레이북을 만나보세요 CVE 및 MITRE ATT&CK® 프레임워크에 매핑되었습니다. 위협 사냥 이니셔티브에 동참하고 자신만의 Sigma 규칙을 개발하고 싶으신가요? Threat Bounty Program에 참여하세요!

플랫폼으로 가기 Threat Bounty에 참가하기

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물