Ivanti Corrige Falhas Críticas no Pulse Connect Secure Sob Exploração Ativa

Em 3 de maio de 2021, a Ivanti emitiu uma atualização de segurança abordando falhas de segurança altamente críticas em seu appliance Pulse Connect Secure SSL VPN. As falhas têm sido supostamente usadas por atores APT para atacar agências governamentais, objetos de infraestrutura crítica e empresas privadas nos EUA.

Vulnerabilidades do Pulse Connect Secure

De acordo com o alerta de segurança da CISA de 20 de abril de 2021, vários grupos de hackers patrocinados por estados têm aproveitado as falhas do Pulse Connect Secure em ciberataques direcionados desde junho de 2020. Os atores usaram uma falha de bypass de autenticação crítica recentemente divulgada (CVE-2021-22893) para executar código arbitrário no gateway Pulse Connect Secure. Esse bug foi encadeado com problemas anteriores (CVE-2020-8243, CVE-2020-8260, CVE-2019-11510) para obter acesso inicial e colocar webshells em redes comprometidas.

Além disso, em maio de 2021, a Ivanti divulgou mais três falhas impactando os produtos Pulse Connect Secure. O primeiro bug é um problema crítico de estouro de buffer (CVE-2021-22894) que permite que um ator remoto autenticado execute código arbitrário com os privilégios mais altos. A segunda falha é um problema crítico de injeção de comandos de segurança (CVE-2021-22899) que permite execução remota de código por meio de perfis de recurso de arquivo do Windows. Finalmente, o terceiro bug é um problema de uploads irrestritos múltiplos (CVE-2021-22900) que fornece aos administradores autenticados a capacidade de realizar uma gravação de arquivo através de upload de arquivo malicioso.

Detecção e Mitigação

As versões 9.0RX e 9.1RX do Pulse Connect Secure foram consideradas vulneráveis, por isso, os usuários são instados a atualizar para a versão 9.1R.11.4 o mais rápido possível. A atualização aborda todas as falhas, incluindo a notória CVE-2021-22893 que foi usada ativamente por atores APT chineses para atacar agências de defesa nos EUA. Além disso, os usuários são incentivados a aplicar as etapas de mitigação descritas no último aviso da Ivanti para garantir sua proteção contra possíveis intrusões.

Para melhorar a detecção proativa de ciberataques em andamento, os usuários também podem baixar um conjunto de regras Sigma gratuitas lançadas pela equipe SOC Prime em cooperação com nossos desenvolvedores ativos do Threat Bounty. Todo o conteúdo é mapeado diretamente para a estrutura MITRE ATT&CK® e contém as referências e descrições correspondentes:

Vulnerabilidade de possível ataque RCE ao Pulse Connect Secure CVE-2021-22893 (via log da web)

Possível exploração de vulnerabilidade RCE ao Pulse Connect Secure 2021 [CVE-2021-22893] (via web)

Ataque Pulse Secure CVE-2019-11510

Inscreva-se no Threat Detection Marketplace, uma plataforma líder mundial de detecção como código que agrega mais de 100K consultas, parsers, painéis prontos para SOC, regras YARA e Snort, modelos de machine learning e playbooks de resposta a incidentes mapeados para as estruturas CVE e MITRE ATT&CK. Nossa base de conteúdo é enriquecida todos os dias com o esforço conjunto de mais de 300 profissionais de segurança experientes de todo o mundo. Interessado nas iniciativas de caça a ameaças da SOC Prime e quer monetizar suas habilidades em cibersegurança? Junte-se ao nosso programa Threat Bounty!

Ir para a Plataforma Junte-se ao Threat Bounty