Vulnerabilidades do Pulse Connect Secure São Exploradas em Ataques Contínuos Contra Alvos de Alto Perfil

[post-views]
Abril 21, 2021 · 4 min de leitura
Vulnerabilidades do Pulse Connect Secure São Exploradas em Ataques Contínuos Contra Alvos de Alto Perfil

Em 20 de abril de 2021, o US-CERT emitiu um alerta advertência sobre uma campanha maliciosa em andamento que está explorando produtos vulneráveis do Pulse Connect Secure para atacar organizações em todo os EUA. A campanha surgiu em junho de 2020 e envolveu múltiplos incidentes de segurança que afetaram agências governamentais, ativos de infraestrutura crítica e organizações do setor privado. Os agentes de ameaça se aproveitam de um conjunto de falhas conhecidas no Pulse Connect Secure para obter acesso inicial e instalar webshells em instâncias comprometidas. Esses webshells são usados posteriormente para registrar senhas, contornar autenticação simples e multifator e persistir através de atualizações.

Vulnerabilidades do Pulse Connect Secure Sob Ataque

De acordo com o US-CERT, os agentes de ameaça exploram um conjunto de quatro bugs que afetam os produtos Pulse Connect Secure. A lista inclui três vulnerabilidades antigas que permitem aos atores executar código arbitrário (CVE-2020-8243, CVE-2020-8260) e leitura de arquivos arbitrários (CVE-2019-11510). Todos esses buracos de segurança foram previamente divulgados e completamente corrigidos pelo fornecedor nos últimos dois anos. 

Além disso, os atacantes exploram uma falha descoberta recentemente (CVE-2021-22893), que de acordo com a Ivanti, empresa fornecedora, afeta um número muito limitado de clientes. Trata-se de um bug de contorno de autenticação que permite a adversários não autenticados executarem arquivos arbitrários no gateway do Pulse Connect Secure. Esta falha é classificada como crítica e obtém uma pontuação CVSS de 10.0. Embora a Ivanti já tenha lançado uma solução temporária para mitigar os possíveis efeitos negativos do problema de segurança, o patch completo não estará disponível antes de maio de 2021.

Pesquisadores de segurança da FireEye estão atualmente rastreamento pelo menos 12 famílias de malware sendo distribuídas com a ajuda das falhas mencionadas acima. A maioria das amostras nefastas não estão relacionadas entre si e foram divulgadas em investigações separadas. Portanto, especialistas em segurança afirmam com alto nível de confiança que múltiplos grupos de hackers estão envolvidos no abuso do Pulse Connect Secure. 

Notavelmente, parte da atividade maliciosa revelada foi atribuída a um grupo APT apoiado pelo governo chinês que mirou na Base Industrial de Defesa e em instituições europeias durante agosto de 2020 – março de 2021. Além disso, a FireEye acompanha a atividade notória de outra ameaça persistente avançada cuja atribuição ainda está indeterminada. Este ator esteve envolvido em múltiplos ataques explorando vulnerabilidades do Pulse Connect Secure contra agências governamentais globais entre outubro de 2020 – março de 2021.

Detecção e Mitigação de Falhas do Pulse Connect Secure

Todos os usuários do Pulse Connect Secure são instados a verificar se seus dispositivos estão completamente corrigidos e atualizados. A Ivanti publicou um post no blog detalhando as vulnerabilidades em questão e fornecendo as etapas de mitigação. Além disso, o fornecedor produziu recentemente a ferramenta Pulse Security Integrity Checker Tool permitindo que os clientes avaliem suas instalações e verifiquem se estão enfrentando algum problema de segurança. 

Para aprimorar a defesa proativa contra ataques em andamento, a Equipe SOC Prime, em colaboração com nossos desenvolvedores do Threat Bounty, lançou um conjunto de regras Sigma voltadas para a detecção de vulnerabilidades do Pulse Connect Secure.

Possível Exploração de Vulnerabilidade RCE do Pulse Connect Secure 2021 [CVE-2021-22893] (via web)

Ataque ao Pulse Connect Secure [CVE-2019-11510]

Além disso, você pode verificar a lista completa de detecções cobrindo falhas do Pulse Connect Secure no Threat Detection Marketplace. Todo o conteúdo de detecção atualizado será adicionado a este artigo, então fique atento ao nosso blog para não perder mais atualizações. 

Inscreva-se no Threat Detection Marketplace gratuitamente e acesse mais de 100 mil consultas, parsers, dashboards prontos para SOC, regras YARA e Snort, modelos de Machine Learning e Playbooks de Resposta a Incidentes mapeados para estruturas CVE e MITRE ATT&CK®. Animado para se juntar a iniciativas de caça a ameaças e desenvolver suas próprias regras Sigma? Participe do nosso Programa Threat Bounty!

Ir para a Plataforma Participar do Threat Bounty

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias