Hoje gostaríamos de alertá-lo sobre uma vulnerabilidade recentemente descoberta que permite a execução remota de código na aplicação Pulse Connect Secure versão<9.1R8. Como mencionado na pesquisa, a CVE-2020-8218 permite que um fraudador execute código arbitrário remotamente do VPN Pulse Connector em sua penúltima versão disponível.
Vulnerabilidade CVE-2020-8218 no Pulse Connect Secure
A CVE-2020-8218 é uma das quatro vulnerabilidades recentemente encontradas no Pulse Secure. Já existe uma versão corrigida da aplicação Pulse Connect, no entanto, continuamos informando a comunidade sobre as possíveis consequências do uso de uma aplicação não corrigida.
Embora a exploração bem-sucedida de uma vulnerabilidade requeira privilégios de administrador, a maneira mais fácil de fraudar os direitos administrativos é entregar um link com uma URL maliciosa em um e-mail e induzir o administrador a clicar nele. Os VPNs tornaram-se particularmente importantes e atuais durante o confinamento, permitindo que as empresas criptografem as comunicações corporativas, assim como autentiquem os usuários.
A Pulse Secure adicionou várias medidas de reforço de segurança à sua aplicação, no entanto, os pesquisadores conseguiram enviar a carga útil para a máquina comprometida e alcançaram a execução remota do código. Embora a autenticação tenha sido realmente alcançada através de um link entregue por um ataque de phishing, a vulnerabilidade CVE-2020-8218 não deve ser ignorada.
CVE-2020-8218 Detecção
Emir Erdogan, um membro ativo do programa SOC Prime Threat Bounty Developer, criou uma regra Sigma comunitária para detectar a execução remota de código CVE-2020-8218 no Pulse Connect Secure: https://tdm.socprime.com/tdm/info/7aBSXpYn0TQA/vGF-NHQBPeJ4_8xcMkVs/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Explorar Aplicação com Exposição Pública (T1190)
Pronto para experimentar o SOC Prime Threat Detection Marketplace? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.