Detecção CVE-2021-22937: Vulnerabilidade de Desvio de Patch no Pulse Connect Secure
Índice:
A Ivanti corrigiu uma falha de segurança crítica (CVE-2021-22937) que afeta seus VPNs Pulse Connect Secure. A falha é uma quebra do patch emitido em outubro do ano passado para mitigar a CVE-2020-8260, um bug notório que permite que administradores maliciosos executem código arbitrário remotamente com privilégios de root.
Descrição CVE-2021-22937
De acordo com a investigação aprofundada do NCC Group, a CVE-2021-22937 é uma violação do patch para uma falha de alta gravidade abordada no outono de 2020. A falha de segurança inicial (CVE-2020-8260) origina-se do problema de extração descontrolada de gzip presente na interface Pulse Connect Secure. A má configuração permite que adversários criptografem e descriptografem arquivos maliciosamente criados com uma chave hardcoded, importem tais arquivos por meio da GUI do administrador e realizem a sobrescrição arbitrária de arquivos que resulta em execução remota de código (RCE).
Para evitar ataques CVE-2020-8260, o fornecedor introduziu validação para os arquivos extraídos. No entanto, não é aplicável para arquivos do tipo “profiler”. Consequentemente, uma leve modificação do exploit original CVE-2020-8260 permite superar as proteções e aproveitar o antigo bug RCE para ataques em andamento.
A exploração bem-sucedida da CVE-2021-22937 possibilita que adversários autenticados com direitos de administrador modifiquem o sistema de arquivos, introduzam uma backdoor persistente, roubem informações de login, comprometam clientes VPN e mais.
Embora atualmente não haja um proof-of-concept (PoC) direto para a CVE-2021-22937, a análise do NCC Group fornece várias capturas de tela das modificações para o PoC da CVE-2020-8260. Por esse motivo, especialistas acreditam que uma avalanche de exploits modificados surgirá em um futuro próximo.
Detecção CVE-2021-22937
De acordo com a aviso emitido pela Ivanti na semana passada, a CVE-2021-22937 impacta todas as versões do Pulse Connect Secure antes da 9.1R12. Os administradores são instados a atualizar para a versão mais recente o mais rápido possível para bloquear possíveis tentativas de exploração.
Para ajudar os profissionais de segurança a identificar possíveis ataques contra a infraestrutura da empresa, a SOC Prime lançou uma regra de caça gratuita para a detecção da CVE-2021-22937.
Essa regra ajuda a identificar quaisquer manipulações/operações de configuração de backup que indiquem possíveis tentativas de exploração da CVE-2021-22937.
SIEM & ANÁLISE DE SEGURANÇA: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix
A regra é mapeada para o MITRE ATT&CK® Framework abordando as táticas de Acesso Inicial e a técnica de Aplicação Explorada Publicamente (T1190). O conteúdo de detecção está disponível no Threat Detection Marketplace gratuitamente após o registro.
Obtenha uma assinatura gratuita para o Threat Detection Marketplace para aumentar suas capacidades de defesa cibernética! Nossa biblioteca de conteúdo SOC agrega mais de 100K algoritmos de detecção e resposta mapeados diretamente para CVE e estruturas MITRE ATT&CK®, para que você possa enfrentar os ataques cibernéticos notórios nas fases iniciais de intrusão. Ansioso para criar suas próprias detecções? Junte-se ao nosso programa Threat Bounty para um futuro mais seguro!
