Execução Remota de Código no Pulse Connect Secure (CVE-2020-8218)

Hoje gostaríamos de alertá-lo sobre uma vulnerabilidade recentemente descoberta que permite a execução remota de código na aplicação Pulse Connect Secure versão<9.1R8. Como mencionado na pesquisa, a CVE-2020-8218 permite que um fraudador execute código arbitrário remotamente do VPN Pulse Connector em sua penúltima versão disponível.

Vulnerabilidade CVE-2020-8218 no Pulse Connect Secure

A CVE-2020-8218 é uma das quatro vulnerabilidades recentemente encontradas no Pulse Secure. Já existe uma versão corrigida da aplicação Pulse Connect, no entanto, continuamos informando a comunidade sobre as possíveis consequências do uso de uma aplicação não corrigida.

Embora a exploração bem-sucedida de uma vulnerabilidade requeira privilégios de administrador, a maneira mais fácil de fraudar os direitos administrativos é entregar um link com uma URL maliciosa em um e-mail e induzir o administrador a clicar nele. Os VPNs tornaram-se particularmente importantes e atuais durante o confinamento, permitindo que as empresas criptografem as comunicações corporativas, assim como autentiquem os usuários.

A Pulse Secure adicionou várias medidas de reforço de segurança à sua aplicação, no entanto, os pesquisadores conseguiram enviar a carga útil para a máquina comprometida e alcançaram a execução remota do código. Embora a autenticação tenha sido realmente alcançada através de um link entregue por um ataque de phishing, a vulnerabilidade CVE-2020-8218 não deve ser ignorada.

CVE-2020-8218 Detecção

Emir Erdogan, um membro ativo do programa SOC Prime Threat Bounty Developer, criou uma regra Sigma comunitária para detectar a execução remota de código CVE-2020-8218 no Pulse Connect Secure: https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Acesso Inicial

Técnicas: Explorar Aplicação com Exposição Pública (T1190)

Pronto para experimentar o SOC Prime Threat Detection Marketplace? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.