S’ha descobert una vulnerabilitat crítica 0-day en dispositius VPN Pulse Secure que permetria a un atacant que l’explote amb èxit autenticar-se remotament i executar codi arbitrari.
ACTUALITZACIÓ 05/05/2021: Ja es troba disponible el pegat per a corregir el problema [2].
Anàlisi
El grup d’investigadors de ciberamenaces Mandiant (pertanyent a FireEye) ha publicat un butlletí informatiu en el qual detallen com han descobert, després de l’estudi d’incidents recents, compromisos d’aplicatius de Pulse Secure VPN [1]. Pel que sembla, una vulnerabilitat en les versions Pulse Secure Connect (PCS) 9.0R3 i superiors, permetria eludir l’autenticació i executar arxius de manera arbitrària.
| CVE | Puntuació CVSS | Descripció | Versions afectades |
|---|---|---|---|
|
10 Crítica |
Una vulnerabilitat en Pulse Secure Connect permetria a un atacant remot no autenticat executar codi arbitrari |
PCS 9.0R3 i superiors |
Recomanacions
Es recomana aplicar els correctius quan siguen publicats en l’enllaç següent [2].
Preventivament, la vulnerabilitat pot mitigar-se deshabilitant dues funcionalitats de l’aplicatiu PCS (Windows File Share Browser i Pulse Secure Collaboration). Per a això es pot descarregar l’arxiu “Workaround-2104.xml” i seguir les instruccions detallades en l’enllaç anterior, apartat “workaround”.
Es recomana, a més, descarregar i executar l’eina de comprovació d’integritat [3] proporcionada per Ivanti (empresa matriu de Pulse Secure) per a determinar el possible impacte. Finalment, Mandiant ha publicat unes regles de detecció per a Snort i Yara que es troben disponibles en l’enllaç següent de GitHub [4] que permetrien detectar un possible compromís.
Referències
- [1]https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
- [2] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
- [3] https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
- [4] https://github.com/fireeye/pulsesecure_exploitation_countermeasures/