Posted on by admin

Vulnerabilidad crítica en Pulse Secure VPN

Se ha descubierto una vulnerabilidad crítica 0-day en dispositivos VPN Pulse Secure que permitiría a un atacante que la explote con éxito autenticarse remotamente y ejecutar código arbitrario.

ACTUALIZACIÓN 05/05/2021: Ya se encuentra disponible el parche para corregir el problema [2].

Análisis

El grupo de investigadores de ciberamenazas Mandiant (perteneciente a FireEye) ha publicado un boletín informativo en el que detallan cómo han descubierto tras el estudio de incidentes recientes, compromisos de aplicativos de Pulse Secure VPN [1]. Al parecer, una vulnerabilidad en las versiones Pulse Secure Connect (PCS) 9.0R3 y superiores, permitiría eludir la autenticación y ejecutar archivos de forma arbitraria.

CVE Puntuación CVSS Descripción Versiones afectadas

CVE-2021-22893

10 Crítica
3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Una vulnerabilidad en Pulse Secure Connect permitiría a un atacante remoto no autenticado ejecutar código arbitrario

PCS 9.0R3 y superiores

Recomendaciones

Se recomienda aplicar los correctivos en cuanto sean publicados en el siguiente enlace [2].
Preventivamente, la vulnerabilidad puede mitigarse deshabilitando dos funcionalidades del aplicativo PCS (Windows File Share Browser y Pulse Secure Collaboration). Para ello se puede descargar el archivo «Workaround-2104.xml» y seguir las instrucciones detalladas en el enlace anterior, apartado «workaround».

Se recomienda además, descargar y ejecutar la herramienta de comprobación de integridad [3] proporcionada por Ivanti (empresa matriz de Pulse Secure) para determinar el posible impacto. Por último, Mandiant ha publicado unas reglas de detección para Snort y Yara que se encuentran disponibles en el siguiente enlace de GitHub [4] que permitirían detectar un posible compromiso.

Referencias