Zero Day de Pulse Secure utilizado para atacar empresas de defensa y organizaciones gubernamentales

Pulse Secure ha compartido medidas de mitigación para una vulnerabilidad de omisión de autenticación de día cero en el dispositivo VPN SSL Pulse Connect Secure (PCS), explotado activamente en ataques contra organizaciones mundiales y centrado en las redes de base industrial de defensa de EE.UU. Para mitigar la vulnerabilidad registrada como  CVE-2021-22893  (con un puntaje de gravedad máximo de […]

Pulse Secure ha compartido medidas de mitigación para una vulnerabilidad de omisión de autenticación de día cero en el dispositivo VPN SSL Pulse Connect Secure (PCS), explotado activamente en ataques contra organizaciones mundiales y centrado en las redes de base industrial de defensa de EE.UU.

Para mitigar la vulnerabilidad registrada como  CVE-2021-22893  (con un puntaje de gravedad máximo de 10/10), Pulse Secure aconseja a los clientes con pasarelas que ejecutan PCS 9.0R3 y superior que actualicen el software del servidor a la versión 9.1R.11.4.

Pulse Secure también lanzó la herramienta Pulse Connect Secure Integrity Tool para ayudar a los clientes a determinar si sus sistemas se ven afectados. Las actualizaciones de seguridad para resolver este problema se lanzarán a principios de mayo.

”El equipo de Pulse Connect Secure (PCS) está en contacto con un número limitado de clientes que han experimentado evidencia de comportamiento de explotación en sus dispositivos PCS. El equipo de PCS ha proporcionado una guía de remediación a estos clientes directamente. La investigación muestra intentos en curso de explotar cuatro problemas: La mayor parte de estos problemas involucran tres vulnerabilidades que fueron parcheadas en 2019 y 2020:  Aviso de seguridad SA44101  (CVE-2019-11510),  Aviso de seguridad SA44588  (CVE- 2020- 8243) y  Seguridad. Asesor SA44601  (CVE- 2020-8260 ). Se recomienda encarecidamente a los clientes que revisen los avisos y sigan la guía, incluido el cambio de todas las contraseñas en el entorno si se ven afectados”.

”Hackers estatales” detrás de los ataques

CVE-2021-22893 fue explotado en la naturaleza junto con otros errores de Pulse Secure por presuntos actores de amenazas patrocinados por el estado para piratear las redes de docenas de organizaciones gubernamentales, de defensa y financieras de EE. UU. y Europa y ejecutar código arbitrario de forma remota en Pulse Connect Secure. pasarelas.

Al menos dos actores de amenazas rastreados como UNC2630 y UNC2717 por la firma de ciberseguridad FireEye han estado implementando 12 cepas de malware en estos ataques.

FireEye también sospecha que el actor de amenazas UNC2630 puede tener vínculos con APT5, un conocido grupo de APT que opera en nombre del gobierno chino, basándose en “fuertes similitudes con intrusiones históricas que se remontan a 2014 y 2015” realizadas por APT5.

“Aunque no podemos conectar definitivamente UNC2630 a APT5, o cualquier otro grupo de APT existente, un tercero confiable ha descubierto evidencia que conecta esta actividad con campañas históricas que Mandiant rastrea como el actor de espionaje chino APT5”, dijo FireEye .