Pulse Connect Secure에서의 RCE (CVE-2020-8218)

오늘, 우리는 Pulse Connect Secure 애플리케이션 버전 <9.1R8에서 원격 코드 실행을 허용하는 최근에 발견된 취약점에 대해 경고하고자 합니다. 연구에서 언급된 바와 같이, CVE-2020-8218은 사기꾼이 사용 가능한 마지막 이전 버전의 Pulse Connector VPN에서 임의 코드를 원격으로 실행할 수 있도록 합니다.

Pulse Connect Secure의 CVE-2020-8218 취약점

CVE-2020-8218은 Pulse Secure에서 최근 발견된 네 가지 취약점 중 하나입니다. Pulse Connect 애플리케이션의 패치된 버전이 이미 있으며, 우리는 패치되지 않은 애플리케이션을 사용할 경우의 가능한 결과에 대해 커뮤니티에 계속해서 알리고 있습니다.

성공적인 취약점 악용에는 관리자 권한이 필요하지만, 관리자가 이메일에 포함된 악성 URL을 클릭하도록 유도하는 것이 관리자 권한을 속이는 가장 쉬운 방법입니다. VPN은 회사 통신을 암호화하고 사용자를 인증할 수 있게 해주는 기능으로, 락다운 동안 특히 중요하고 시의적절한 역할을 하고 있습니다.

Pulse Secure는 애플리케이션에 많은 보안 강화 조치를 추가했지만, 연구원들은 손상된 기계에 페이로드를 성공적으로 전송하고 원격 코드 실행을 달성했습니다. 실제로 인증은 피싱 공격으로 전달된 링크를 통해 이루어졌지만, CVE-2020-8218 취약점은 무시되어서는 안 됩니다.

CVE-2020-8218 탐지

에미르 에르도안, SOC Prime Threat Bounty Developer 프로그램의 활동적인 멤버인 이 사람은 Pulse Connect Secure에서 CVE-2020-8218 원격 코드 실행을 탐지하기 위한 커뮤니티 Sigma 규칙을 만들었습니다: https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 접근

기술: 공개된 애플리케이션 악용 (T1190)

SOC Prime Threat Detection Marketplace를 사용해 보시겠습니까? 무료로 가입하십시오. 또는 Threat Bounty Program에 참여하십시오 자체 콘텐츠를 제작하고 TDM 커뮤니티와 공유하십시오.