Múltiples vulnerabilidades en Pulse Secure VPN está siendo utilizada por actores de amenaza, incluidas CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 y el recientemente divulgado CVE-2021-22893.
Los actores de amenazas estás utilizando estas vulnerabilidades para colocar WebShell en los dispositivos Pulse Connect Secure conteniendo acceso y persistencia en su ataque.
“El actor de amenazas cibernéticas está utilizando dispositivos explotados ubicados en direcciones IP residenciales, incluidos los dispositivos de almacenamiento conectado a la red (NAS) y enrutadores de pequeñas empresas de varios proveedores, para ser usado como proxy su conexión”, informó la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU.
Una investigación realizada por la compañía de seguridad FIREEYE con su equipo Mandiant, rastro 12 familias de malware asociadas con la explotación de dispositivos Pulse Secure VPN, todas estas tienen relación a eludir la autenticación y tener acceso puerta trasera a los dispositivos. Además han observado ataques dirigidos tanto a organizaciones Estados Unidos como a Europa, en sectores de defensa, gobierno y financiero, pero aún no se ha podido determinar el alcance de esta actividad.
El acceso que tuvieron en su mayoría fue por la explotación de las vulnerabilidades reveladas en el año 2019 y 2020, y una intrusión se debió a la explotación de CVE-2021-22893 del año 2021, donde el atacante recopila credenciales de varios flujos de inicio de sesión de Pulse Secure VPN, permitiendo al actor de amenaza usar credenciales de cuentas legítimas en los dispositivos afectados y moverse de forma lateral en los entornos comprometidos, luego utilizando Scripts y Binarios Pulse Secure legítimos mantuvo persistencia en las redes afectadas.
Los investigadores identificaron los siguientes malwares SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, PULSECHECK, QUIETPULSE, PULSEJUMP, HARDPULSE, LOCKPICK y THINBLOOD. Los cuales algunos fueron observados en incidentes ocurridos en los EE. UU. y otros en Europa.
Mandiant han podido identificar con el analista de inteligencia de amenazas fuertes similitudes con instrucciones históricas que se remontan a 2014 y 2015 de actores APT5 que corresponde actores vinculados al gobierno chino, aunque la investigación está en curso.
Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. Ha lanzado este marte una directiva de emergencia, que ordena a los departamentos y agencias federales ejecutar la Herramienta de integridad segura Pulse Connect en todas las instancias de dispositivos virtuales y hardware. Además aconseja a las organizaciones que evalúen sus instalaciones e identifiquen un posible compromiso, así como que apliquen las mitigaciones disponibles, que incluyen la actualización de los dispositivos VPN a versiones parcheadas.
