Pulse Secure VPN中零日漏洞被用于攻擊
發(fā)布時(shí)間:2021-07-06 23:14
來(lái)源:TechTarget中國
閱讀:0
作者:TechTarget中國
欄目: 網(wǎng)絡(luò )安全
攻擊者正在利用Pulse Secure VPN設備中的零日漏洞對政府目標以及金融機構和國防承包商發(fā)起攻擊�����。
在周二發(fā)布的安全公告中���,Pulse Secure透露在其Pulse Connect Secure(PCS)系列中發(fā)現漏洞��,該漏洞使未經(jīng)身份驗證的遠程攻擊者可以繞過(guò)身份驗證并執行任意代碼���。這個(gè)嚴重漏洞被命名為CVE-2021-22899����,CVSS評分為滿(mǎn)分10分�,并且影響PCS 9.0R3及更高版本���。 Pulse Secure表示�����,該漏洞給客戶(hù)部署帶來(lái)重大風(fēng)險�,而且該問(wèn)題僅影響數量非常有限的客戶(hù)�����。
該風(fēng)險非常嚴重��,以至于在周二��,美國網(wǎng)絡(luò )安全和基礎架構安全局(CISA)發(fā)布一項緊急指令��,要求運行Pulse Secure產(chǎn)品的聯(lián)邦民政部門(mén)和機構“檢測和緩解在其網(wǎng)絡(luò )上檢測到的任何異?���;顒?dòng)或主動(dòng)漏洞利用”�����。此外�,Pulse Secure開(kāi)發(fā)出用于緩解漏洞的Identity Checker工具���,CISA緊急指令要求所有受影響的機構都使用該工具�。
盡管已經(jīng)發(fā)布工具�,但修復該漏洞的最終補丁要到在5月初才會(huì )發(fā)布�����。但是��,FireEye的Mandiant威脅情報小組已檢測到零日漏洞�。
對于涉及Pulse Secure VPN設備的多起安全事件��,Mandiant威脅研究人員周二發(fā)布報告�����,其中包含有關(guān)這個(gè)新漏洞的詳細信息以及正在利用該漏洞的攻擊者的信息�。根據該報告指出�����,Pulse Secure的調查確定�����,攻擊者的初始感染媒介是同時(shí)利用先前的漏洞和2021年4月發(fā)現的先前未知漏洞�����。Mandiant說(shuō)�����,他們今年初發(fā)現全球范圍針對國防����、政府和金融機構的多次攻擊�����。
該報告指出:“在每次入侵中��,攻擊者活動(dòng)的最早證據可追溯到受影響環(huán)境中屬于Pulse Secure VPN設備的DHCP IP地址范圍����?���!?/p>
盡管他們無(wú)法確定攻擊者是如何獲得設備的管理員級別訪(fǎng)問(wèn)權限�,但他們懷疑某些攻擊利用了早在2019年和2020年之前披露的Pulse Secure漏洞�,而其他攻擊則是由于利用這個(gè)較新的漏洞CVE-2021-22899����。
FireEye說(shuō)����,他們觀(guān)察到威脅活動(dòng)(該供應商將其稱(chēng)為UNC2630)從各種Pulse Secure VPN登錄漏洞中收集憑據�����,最終使攻擊者可以使用合法的登錄憑據橫向移動(dòng)到受影響的環(huán)境中�����。目前尚不清楚該APT與哪個(gè)國家或地區相關(guān)聯(lián)����。
“盡管我們不能肯定地將UNC2630關(guān)聯(lián)到APT5�����,或任何其他現有的APT團伙�,但是可信的第三方已經(jīng)發(fā)現證據可關(guān)聯(lián)APT5���?����!?/p>
在周四聯(lián)合發(fā)布的網(wǎng)絡(luò )安全公告中�,美國國家安全局����、聯(lián)邦調查局和CISA稱(chēng)��,俄羅斯外國情報服務(wù)(SVR)參與者經(jīng)常利用五個(gè)已知漏洞來(lái)初步占領(lǐng)受害者的設備和網(wǎng)絡(luò )��。其中一個(gè)漏洞CVE-2019-11510是Pulse Secure VPN設備中發(fā)現的較舊的漏洞�����。
Mandiant發(fā)言人告訴SearchSecurity�����,對該零日漏洞的利用與CVE-2019-11510的SVR攻擊無(wú)關(guān)��。
該發(fā)言人還表示����,Identity Checker工具可以檢測除該零日漏洞外的其他近期Pulse Secure漏洞相關(guān)的問(wèn)題�,包括CVE-2019-11510�、CVE-2020-8243�����、CVE-2020-8260和CVE-2021-22893�����。
在COVID-19疫情期間��,對VPN的攻擊有所增加����,周四的聯(lián)合公告就證明這一點(diǎn)��,其中五個(gè)漏洞中有三個(gè)在VPN中被發(fā)現����。Mandiant威脅情報分析主管Ben Read說(shuō)�,VPN是網(wǎng)絡(luò )間諜組織的重要目標�����,因為它們包含有價(jià)值的信息(例如登錄憑據)�����,并且通過(guò)設計暴露給開(kāi)放的互聯(lián)網(wǎng)�����。
Read說(shuō):“為了使VPN設備正常工作���,需要從網(wǎng)絡(luò )外部對其進(jìn)行訪(fǎng)問(wèn)�����。但是�����,這一事實(shí)使VPN中的漏洞對網(wǎng)絡(luò )間諜組織特別有價(jià)值�����?!?/p>
